博客家

软件供应链超级英雄:二进制管理加安全

通过肖恩·普拉特和保罗·加登

7分钟阅读

今天去参加任何DevOps或安全会议,你可能会看到“保护您的软件供应链的标语以这样或那样的形式出现在大多数展位上。这是有充分理由的。最近的数据显示,供应链攻击已经增加了一倍多2021年,这一趋势可能会持续下去。

领先的公司正在积极反思他们的方法如何开发和发布软件.他们会问一些核心问题,比如:

  • 我们应该使用哪些安全工具?
  • 关于OSS的使用应该制定什么样的政策?
  • 我们应该如何存储二进制文件和包?
  • 谁应该确定什么是可接受的风险?

这些看起来很像是独立的问题。但在今天迅速演变的威胁环境中,这些问题是高度相互关联的。为了解决这些问题,组织需要在一个紧密集成的解决方案中进行二进制管理和安全性。原因如下:

二元:供应链中的环节

保护软件供应链(SSC)首先要了解其中的内容。一个通用二进制管理解决方案,如JFrog Artifactory,保存二进制文件、包和组件对于您的组织在一个地方使用的所有软件技术——供应链的单一真相来源。

强大的元数据意味着二进制文件不仅被存储,而且被跟踪,为它们的来源和使用提供了完全可跟踪的记录。其他特性,如校验和验证,有助于提供确定性,确保每个组件都是它声称的那样,并且没有受到损害。

当使用基于角色的访问控制的强大权限管理工具进行治理时,您的软件供应链可以在一个已建立的安全信任圈内运行。在这个圈子里,开发人员可以在团队内部或团队之间安全地共享不可变软件组件,以创建构建。

“(在Artifactory中)有一个集中的、治理良好的存储库,每个人都可以通过特定的控制访问它,并在适当的位置设置安全和标签,这对Monster尽可能快地做出反应至关重要。”
- - - - - -首席架构师怪物

DevOps和站点可靠性工程师可以将各种构建、QA和编排工具连接到这些存储库,以更好地控制二进制文件在不同系统/工具之间的流,因为它们正向生产推进,并确保开发人员总是使用他们认为自己是的资产集。

SecOps:强化信任圈

安全工具是阻止恶意或易受攻击组件进入生产软件的一道防线。因为软件供应链是由二进制文件组成的,所以这是您的安全态势需要最着重关注的地方。

一旦你建立了一个信任二进制文件的安全圈,一个以二进制文件为中心的安全解决方案比如JFrog Xray可以通过提供自动警惕性来加强这个循环,了解二进制文件内部的内容以及它们在被利用时的脆弱性。

“有些事情(x光)它将自动扫描中央知识库中的所有内容,不需要任何定制,这真的非常非常强大。”
- DevSecOps高级经理日立Vantara

当然,识别漏洞只是第一步。你也需要了解漏洞的影响,知道如何最好地处理它们,并在必要时阻止它们进一步使用。

不依赖于单一真相来源的安全点解决方案可以识别在开发管道的特定位置发现的问题,但可能需要许多层保护来保护整个软件供应链。安全是贯穿整个SDLC的一个综合问题,从第一个拉请求到每个构建,从测试到最终验证,直到发布之后。当二进制文件在具有强大元数据的统一系统中进行集中管理时,就可以从端到端构建安全性。

此外,现代应用程序很少独立存在——企业的应用程序清单是高度相互依赖的,第三方和第一方的组件都在共同重用中。一个单一的脆弱包可能不仅仅在一个构建中使用,而是在数百个构建中使用。由丰富元数据证明的二进制的安全真理圈使我们能够快速掌握漏洞对供应链中每个二进制环节的影响。

Dev + Sec: 1+1 = 3

当谈到保护组织的软件供应链时,没有比JFrog DevOps平台与Artifactory和x射线。二进制文件是软件开发的核心组件,而JFrog的核心竞争力就是二进制文件——管理它们、保护它们、将它们打包到软件更新中、将它们交付并部署到边缘和运行时。

当然,安全性不会随着应用程序的部署而结束。“零日”问题,就像最近发现的log4j而且SpringShell漏洞可能在应用程序投入服务很久之后才会暴露出来。当这些情况发生时,安全团队需要紧急进行识别所有组织中包含严重脆弱库的应用程序,确定它们的影响,并迅速修复它们。只有将二进制文件集中管理在具有内置安全性的统一系统中,才能有效地评估新发现的风险。

当非常流行的log4j库暴露出一个严重的漏洞时,无数组织受到了影响,全球的安全团队失去了周末和假期,以确保他们的软件不受攻击。然而,使用Artifactory和Xray的JFrog客户能够完全纠正log4j问题快速跨越他们的整个开发组织,防止脆弱的组件被进一步使用,通常在24小时之内。

“当log4j出现时,生成一份关于哪些应用存在易受攻击的依赖项的报告、修复它是最简单的事情,然后我们就万事大吉了。”
DevOps的工程师,本迪戈和阿德莱德银行

有了JFrog Artifactory和Xray,安全性不仅仅是“添加到”DevOps工作中的东西。相反,它被深思熟虑地集成到二元生命周期管理过程中——从内容管理从创造到消费。例如,使用Xray的安全扫描可以发生在二进制升级的每一个步骤(从构建到发布),并充当自动生产版本的看门人。

当您结合安全扫描功能作为推广看门人,再加上Artifactory的发布包签名以确保不可变性时,您就会得到您可以信任的包含您所期望的软件组件的安全发布。

这两个统一的JFrog平台服务提供了一个全面的解决方案,从二进制文件进入组织的DevOps生态系统之前,一直到在生产环境中运行的二进制文件,都可以保障软件供应链的安全。

这种全面的安全方法是最受监管的行业的领导者依赖强大的JFrog平台来管理他们的二进制文件和保护他们的软件供应链的原因。

大规模端到端软件供应链安全

无缝地管理使用包的方式、时间和位置,从单一的事实来源毫不费力地在整个开发环境中查找、修复和加固漏洞。

  • 在DevOps、工程和安全部门之间建立透明度和效率
  • 了解你的供应链中有哪些第三方软件包,并确保它们的使用是安全的
  • 通过在整个SDLC中集成检查和门来提高安全性
  • 看到大局,用单一的真相来源轻松地采取行动

它们本身很棒。更好的在一起。JFrog Artifactory + Xray是管理和保护您的软件供应链的领先组合。

受欢迎的标签

试试JFrog平台

在云端或自托管

开始试验

订一个演示