業(yè)務(wù)成功的關(guān)鍵驅(qū)動(dòng)力在于企業(yè)開(kāi)發(fā)和交付軟件的速度。
文/JFrog大中華區(qū)總經(jīng)理 董任遠(yuǎn)
業(yè)務(wù)成功的關(guān)鍵驅(qū)動(dòng)力在于企業(yè)開(kāi)發(fā)和交付軟件的速度。團(tuán)隊(duì)任務(wù)是不斷尋找盡可能高效的工作新方法���,通常會(huì)借助開(kāi)源庫(kù)和組件來(lái)加快交付速度。事實(shí)上����,有研究表明市場(chǎng)上多達(dá)
97% 的應(yīng)用程序都使用開(kāi)源軟件。
雖然開(kāi)源倉(cāng)庫(kù)有助于節(jié)省時(shí)間��,但也成為了網(wǎng)絡(luò)罪犯的主要目標(biāo)�。因?yàn)橹恍杵茐拈_(kāi)源庫(kù)中的一個(gè)軟件包����,這些惡意攻擊者就能獲得多家企業(yè)的后門(mén)訪問(wèn)權(quán)限,給全球數(shù)百萬(wàn)開(kāi)發(fā)者的工作帶來(lái)安全隱患��。
在“生產(chǎn)競(jìng)賽”中�,速度絕不能以犧牲安全為代價(jià)。以下三大實(shí)用步驟能夠最大限度地降低軟件供應(yīng)鏈中的風(fēng)險(xiǎn):
1. 確保正在使用的開(kāi)源庫(kù)得到正確掃描
2022 年��,全球 1700 家企業(yè)遭受到軟件供應(yīng)鏈攻擊�����,超 1000
萬(wàn)人受到影響�,其中幾乎所有攻擊都包含一些錯(cuò)誤或惡意的開(kāi)源代碼。正如下文中的數(shù)字所示一般。
相關(guān)行業(yè)研究顯示�,僅僅在 1 月份,NPM 就新增了 95,000 個(gè)軟件包�����。除此之外���,75
萬(wàn)個(gè)新版本的現(xiàn)有軟件包也被更新到庫(kù)中����。雖然這些庫(kù)毫無(wú)疑問(wèn)希望確保代碼合法����,但開(kāi)源的本質(zhì)意味著幾乎不可能進(jìn)行驗(yàn)證。因此��,企業(yè)有責(zé)任確保這些軟件包可以安全地添加到其開(kāi)發(fā)供應(yīng)鏈中���。業(yè)界曾用維基百科來(lái)比喻開(kāi)源關(guān)系:雖然維基百科是很棒的免費(fèi)資源��,但使用它的個(gè)人有責(zé)任核實(shí)信息的準(zhǔn)確性��。
企業(yè)可以用可擴(kuò)展的方式實(shí)現(xiàn)這種程度的審查����,通過(guò)連接到開(kāi)源倉(cāng)庫(kù)并掃描與軟件包或更新版本相關(guān)的元數(shù)據(jù),以了解其上下文��,如它們是否與惡意攻擊或漏洞相關(guān)聯(lián)���,或它們是何時(shí)創(chuàng)建的����。通過(guò)回答此類(lèi)問(wèn)題�,開(kāi)發(fā)者可以在自己的生態(tài)系統(tǒng)中將代碼推進(jìn)到下一階段的開(kāi)發(fā)��,并增強(qiáng)對(duì)代碼安全性的信心�����。
2.
開(kāi)發(fā)一種“超越”左移的方法
左移模式對(duì)企業(yè)來(lái)說(shuō)非常有幫助��,因?yàn)榭梢员M可能地在入口點(diǎn)附近對(duì)開(kāi)源組件進(jìn)行檢查��。相較于軟件開(kāi)發(fā)的早期“狂野西部”時(shí)代(只有在最后階段才會(huì)對(duì)代碼進(jìn)行檢查���,一旦發(fā)現(xiàn)問(wèn)題就不得不再次從頭開(kāi)始)�����,這一方法頗受歡迎�。
隨著軟件開(kāi)發(fā)不斷成熟,最重視軟件安全的企業(yè)將尋求一種超越左移的方法�����。
為此��,可以在將組件引入集成開(kāi)發(fā)環(huán)境之前檢查組件是否存在漏洞��。具體而言��,可以通過(guò)創(chuàng)建一個(gè)氣隙環(huán)境�����,根據(jù)企業(yè)特定需求定制的策略來(lái)檢查輸入的開(kāi)源代碼���,并在進(jìn)入環(huán)境前便可過(guò)濾掉不符合標(biāo)準(zhǔn)的代碼���。
3. 將安全措施集中于單一平臺(tái)
上述兩種方法將有助于以更具成本效益的方式管理軟件供應(yīng)鏈中的潛在安全問(wèn)題。
此外�,使用專(zhuān)門(mén)針對(duì)這些領(lǐng)域的解決方案���,能夠幫助把握可能在軟件開(kāi)發(fā)周期后期出現(xiàn)的安全問(wèn)題。
眾所周知���,開(kāi)源數(shù)據(jù)庫(kù)的流動(dòng)性非常高�����,并且一直處于不斷變化之中���。即使一個(gè)軟件包通過(guò)掃描和左移前的安全措施,仍無(wú)法百分之百保證其安全性����。我們可以采用能夠理解此生命周期每個(gè)階段的解決方案����,一旦發(fā)現(xiàn)惡意內(nèi)容,企業(yè)可以在整個(gè)開(kāi)發(fā)過(guò)程中的任何時(shí)間點(diǎn)采取適當(dāng)?shù)难a(bǔ)救措施�。
以安全為重的軟件供應(yīng)鏈平臺(tái)可通過(guò)上述最佳實(shí)踐,幫助實(shí)現(xiàn)整個(gè)軟件構(gòu)建與發(fā)布流程的自動(dòng)化并確保其安全��,從而助力開(kāi)發(fā)者加快軟件交付速度�����,同時(shí)強(qiáng)化企業(yè)的安全態(tài)勢(shì)。
優(yōu)先考慮軟件供應(yīng)鏈安全
大多數(shù)軟件開(kāi)發(fā)所依賴(lài)的開(kāi)源生態(tài)系統(tǒng)將持續(xù)存在�����。這些庫(kù)的便利性和速度無(wú)與倫比��,是現(xiàn)代開(kāi)發(fā)團(tuán)隊(duì)的必備資源��。然而���,由于一些環(huán)境的性質(zhì)����,使用它們的個(gè)人和企業(yè)有責(zé)任確保其安全可靠�����。
采用上述三大步驟���,能夠持續(xù)推動(dòng)開(kāi)發(fā)工作流的創(chuàng)新和效率����,并在企業(yè)中應(yīng)用頂級(jí)安全實(shí)踐操作。
免責(zé)聲明:本站所使用的字體和圖片文字等素材部分來(lái)源于互聯(lián)網(wǎng)共享平臺(tái)����。如使用任何字體和圖片文字有冒犯其版權(quán)所有方的,皆為無(wú)意���。如您是字體廠商����、圖片文字廠商等版權(quán)方�,且不允許本站使用您的字體和圖片文字等素材,請(qǐng)聯(lián)系我們�����,本站核實(shí)后將立即刪除����!任何版權(quán)方從未通知聯(lián)系本站管理者停止使用��,并索要賠償或上訴法院的��,均視為新型網(wǎng)絡(luò)碰瓷及敲詐勒索���,將不予任何的法律和經(jīng)濟(jì)賠償�!敬請(qǐng)諒解!
粵公網(wǎng)安備 44030402000264號(hào)