SDLC安全:这是JFrog的个人问题

的SolarWinds黑客这一问题影响了知名度财富500强公司和美国大型联邦政府机构，把焦点放在了软件开发安全上——这是DevOps社区和JFrog的一个关键问题。从根本上说，如果通过CI/CD管道发布的代码是不安全的，那么所有其他DevOps的好处都是徒劳的。

发生了什么事

SolarWinds是一家IT监控和管理供应商，说黑客入侵了其系统，并在其软件构建过程中插入恶意软件猎户座的平台．几个月来，产品更新都带有该漏洞，该漏洞旨在帮助黑客通过后门侵入客户的Orion服务器。

据估计，大约有1.8万名用户收到了受污染的更新打了突破．这些影响包括微软，美国国土安全部(DHS)，以及网络安全供应商FireEye检测到这次攻击发生在本月黑客窃取之后专有的安全工具它提供给客户。

显微镜下的SDLC安全

SolarWinds利用安全的开发生命周期构建所有产品，包hth华体会最新官方网站括体系结构评审、静态和动态代码分析以及开源分析加强了SDLC的安全性,包括:

• 进一步限制对其构建环境的访问权限
• 为新构建使用新的代码签名证书
• 检查构建环境的体系结构、有权访问它的特权和非特权用户，以及围绕它的网络

这也是被报道公司可能无意中泄露的信息FTP凭证去年在Github的一个公共知识库中，提高的问题这是否可能是黑客入侵其系统的途径。

推出一个全面的、整体的DevSecOps策略是必须的，特别是随着开源软件的指数级增长，我们知道开源软件经常包含漏洞和其他安全故障。点击微博

一个令人不安的趋势

这种类型的漏洞，被称为上游供应链攻击,已成为越来越受欢迎在黑客中，因为它提供了一个非常有效的向量．通过毒害被认为是安全的代码，网络犯罪分子利用软件供应商和客户之间的信任关系。黑客的恶意软件隐藏在正版软件中，通过官方的分发方式在不知情的情况下发送给成千上万的客户。

JFrog如何提供帮助

JFrog一直在创造人们对DevSecOps并在其平台中构建了多年的安全功能。我们相信安全必须端到端地嵌入到SDLC中——从设计到生产。

这样，安全漏洞——漏洞、恶意软件、错误配置、策略违反等等——就能尽早且经常被发现，并在坏人有机会利用它们之前立即修复。

这是一项广泛而复杂的工作，需要一种全面的、多维的方法，包括应用程序安全性、基础设施安全性、数据安全性和全面的基于角色的访问控制(RBAC)。

下面是我们为DevSecOps提供的一个简短的纲要JFrog平台，以及一些建议。

JFrog x光

JFrog x光是我们的DevSecOps工具，旨在提供持续的安全和通用的工件分析。通过对容器和软件工件的多层分析，这软件成分分析解决方案扫描漏洞和检测license合规性问题，并帮助您快速采取适当的措施。

JFrog x光是与JFrog Artifactory本地集成，我们平台的旗舰组件，提供优化的扫描，统一操作，和单一窗格的玻璃视图进入您的文物的安全和合规问题。漏洞的识别和构建的可跟踪性是不可分割的。您必须将安全性和许可证遵从性紧密地编织到您的工件管理系统中。这样，当检测到漏洞时，您就知道它是如何出现的，以及它是如何影响其他一切的。

此外，Artifactory还提供了细粒度的RBAC功能，因此您可以限制对工件的访问，并确定要授予的访问类型，例如读写或只读权限。此外，Artifactory丰富的元数据为您提供了工件的完整可跟踪性。通过这种方式，您可以立即对漏洞作出响应，并使用未被破坏的组件生成一个新的、安全的构建——只需数小时，而不是数天。

JFrog Xray的深层递归扫描使您可以看到组件的所有底层和依赖关系，并提供完整的影响分析，因此您可以了解哪些构件包含不安全的组件。而且它以DevOps的速度持续地完成所有这些工作，所以你可以在SDLC -中尽早发现并修复违规甚至直接从IDE中—不会在周期结束时造成安全检查瓶颈。

试图手动完成所有这些工作，并使用互操作不好的完全不同的点工具，会减慢您的速度，并阻止您精确和大规模地确定安全问题——将您置于被破坏的风险中。

JFrog管道

就像我们之前的解释在美国，保守秘密可能是一项挑战CI / CD工具．它们必须连接到许多其他服务，每个服务都有自己的密码或令牌——这些数据必须被网络骗子屏蔽。

JFrog管道从一开始就为保密而设计，具有本机内置的秘密管理。通过其集成功能，pipeline将中央机密管理与JFrog平台的细粒度访问权限相结合。其开箱即用的集成包括GitHub、Bitbucket、Docker、Kubernetes和Slack，以及AWS、GCP和Azure等公共云平台。

通过管道集成，您可以共享安全资源，同时保护授权使用它们的秘密。2022世界杯阿根廷预选赛赛程使用JFrog平台的统一权限模型，您可以授予那些需要它的人访问权限，并阻止其他人访问它。这一切都自动化并简化了保护秘密的过程，使其不被无意中暴露或从CI/CD工具中主动窃取。

最佳实践

推出一个全面的、整体的DevSecOps策略是必须的，特别是随着开源软件的指数级增长，我们知道开源软件经常包含漏洞和其他安全故障。正如我们在这里所概述的白皮书，这些建议为开始或微调DevSecOps实践提供了坚实的基础:

• 将DevSecOps作为SDLC的基石
• 向开发人员和运营团队灌输安全知识和所有权
• 利用安全和遵从性最佳实践，并采用持续改进策略
• 的集成套件DevSecOps工具这可以使安全和治理自动化
• 确保您的工具套件包含一个通用的软件组合分析解决方案
• 利用最全面和及时的漏洞情报数据库

我们还联系了基于风险的安全,他的VulnDB漏洞数据库我们在JFrog Xray中使用，漏洞情报的副总裁Brian Martin和我们分享了这些技巧:

• 对于从可信供应商处接收软件更新的公司:实践尽职调查，并为接受来自任何来源的代码贡献制定适当的以安全为重点的策略。虽然这需要大量的时间，但是每个代码更改都应该经过至少两组人的检查。这样，如果凭据被滥用以将新代码注入到项目中，就会有另一个人负责检查该代码。

• 对于DevOps团队来说，要防止他们的管道被破坏，他们的代码被黑客篡改:DevOps团队应该定期检查他们软件中使用的第三方代码。他们还需要吗?项目是否被积极维护?代码中是否有漏洞的历史记录?该项目是否有包括审查外部贡献的政策?这些都是要问的重要问题。

注册一个免费的JFrog云帐户亲身体验Xray的深度递归扫描和影响分析能力如何提高DevOps管道的安全性和遵从性。