Onboarding JFrog x射线的最佳实践

注:本博客文章的一个版本也是发表在dev.to

引入、添加或替换新的SCA(软件组合分析)工具，例如JFrog x光到你的SDLC，如果处理不当，可能会对SDLC和组织造成很大的破坏。

这篇博客文章提供了使用JFrog x射线的最佳实践建议;为了减少干扰，改进采用，并向左移动来创建一个DevSecOps行为．

首先，让我们描述在使用安全工具时的一个常见场景。通常情况下，尤其是在引入新工具时，所有屏幕都会变成红色，警报会从各个方向出现。在这种情况下，要求系统锁定是一种合理的下意识反应;取消构建的资格，拒绝依赖，等等。然而，这样的反应，即使它看起来是有效的，却是适得其反的。从理论上讲，这种行为会导致生产停顿，造成挫折和冲突。自然，在现实生活中，在大多数情况下，没有人会真正停止业务。相反，组织可能会发展警惕疲劳并将忽略该工具，这绝对不推荐。

5新员工培训的建议

1. 包括研发
   当你把研发纳入到这个过程中，你就有机会实现一个真正的、可管理的、高效的DevSecOps过程。大约每100-200名开发人员就有一名安全工程师。由一名工程师审查和控制所有安全问题，只有当它与开发联系在一起时才可能。否则，它将导致瓶颈、延迟、冗余工作和许多挫折。
2. 为每个应用程序团队和/或成熟度阶段配置一个Watch
   一个JFrog x光看将用于应用程序的一组资源(存储库、文件夹、构建等)2022世界杯阿根廷预选赛赛程分组在一起政策或策略(安全性和合规性支配规则)。
   创建一个监视每个应用程序团队允许给每个团队他们自己的“世界”和责任。反过来，这提供了“左移位“安全治理的责任。
3. 集成开发工具
   尝试将信息引入开发工具(即CI服务器，IDE)，这些工具将为开发人员的环境提供与治理相关的信息。对于x射线，我们有IDE集成插件．
4. 从小处开始，循环工作
   • 选择一个团队开始集成过程。以下是一些你可以用来选择正确团队的考虑因素:
     • 先锋团队——一个乐于接受变化并测试新方法以改进的团队(特别是当他们关心安全性时)。
     • 一个新的应用程序团队-如果你可以选择，选择一个正在启动一个新项目/服务的团队(即开始“greenfield”)
     • 与其他团队“集成”或依赖较少的团队。
       在扩展到其他团队之前，与选定的团队一起建立和改进流程。
   • 从“关键”问题开始。如上所述，实现JFrog x射线很可能会生成数十或数百个所有类型和严重程度的警报。试图同时处理所有事情可能不合理。如果您发现严重问题的数量过高，而您的工具支持这种情况，那么请尝试比Low/Medium/ high / critical更细粒度。试着去CVSS分数;从9.9-10开始，然后是9.8-10,9.7-10，等等。这种筛选的粒度应该基于您的需要。
   • 对每个“关键”问题做出决定。决定这个问题是需要的，是可以解决的，还是应该解决的忽略了．您可以决定将一组问题临时列入白名单，或者为解决该问题定义一个截止日期。
   • 不要使用蛮力动作。JFrog x射线允许您采取行动的电子邮件通知，webhook, Slack消息，吉拉问题。它还允许阻止下载，失败的构建，甚至阻止发行版的分发。
     尽量避免任何会破坏开发生命周期的操作，直到你完成了可管理的现存问题(即可以解决或忽略的问题)。例如，阻止依赖项下载或基于新工具的扫描结果导致构建失败等操作。
     • 只有当构建通过时没有违反考虑一个艰难的未来行动。
5. 添加外部通知(如Jira和Slack)
   • 您可能只想为新问题添加外部通知，否则您可能面临“警报疲劳”的风险。

处理关键问题后，对主要问题重复相同的过程。对于小问题，你应该考虑是否要在这个时间点处理它们，或者转移到下一个项目/团队，然后再处理它们。

希望这篇博客文章中的最佳实践将帮助你消除开发和安全之间的任何紧张关系，并为你提供一些DevSecOps基础。