左移为DevSecOps Success | JFrog - 2022年世界杯赛程时间表

不久前，开发人员在构建应用程序时对安全性和遵从性知之甚少。检查漏洞、错误配置和违反政策不是他们的工作。在创建了一个功能齐全的应用程序之后，他们会把它扔到众所周知的栅栏上，安全团队会在某个时候评估它——或者可能永远不会。

由于三个主要的转变，这样的日子已经一去不复返了。

首先，传统的“瀑布式”软件开发方法的田园节奏——线性的、单片的、缓慢的——已经被DevOps的紧迫性所取代，在DevOps中，软件是模块化的、连续的、快速的发布。

其次，随着组织的运营和数据全面数字化，所有的业务都变成了软件业务，因此很容易受到软件故障和网络攻击的影响。

最后，肆无忌惮的毁灭性黑客攻击已经变得越来越普遍和复杂，促使首席执行官和董事会成员宣布，网络安全是每个人的事，是不可忽视的事情，因为他们公司的诚信和生存能力受到威胁。

因此，开发人员再也不能幸福地无视他们所构建的软件的安全性。这就引入了“左移”的概念——要求在开发过程中尽早发现、分析和解决安全问题。

在这篇博文中，我们将解释为什么“左移”已经成为安全DevOps的基石——也被称为DevSecOps为什么你应该采用“左移”，以及你如何使用JFrog DevOps平台将其付诸实践。

不安全软件的代价

超过2万亿美元。没错，那是"万亿"加" t "这就是2020年美国公司的成本信息和软件质量协会(CISQ)称之为“软件质量差”。在2.08万亿美元的成本中，大部分来自操作软件故障，估计为1.56万亿美元，这主要是由未修复的缺陷引起的，大多数是未修补的已知漏洞。

再说一次:你的软件依赖于——它是建立在——别人的软件之上的，如果你使用了有缺陷和不安全的软件组件，你的软件质量就会受到影响——你的业务也会受到影响。

CISQ在其报告中指出，在应用程序发布后修复软件问题的成本是在开发期间修复这些问题的10倍之多。

网络犯罪分子已经意识到，破坏这些软件构建模块为他们提供了一种隐秘而高效的方式，可以通过合法和可信的渠道传播恶意软件，因此他们正在加大力度感染供应链上游的组件。

这就是在毁灭性的太阳风黑客2020年12月:黑客在IT监控软件供应商SolarWinds的Orion平台的软件构建过程中注入了恶意软件。

几个月来，SolarWinds无意中发布了带有该漏洞的产品更新，旨在让黑客入侵客户的Orion服务器。大约1.8万名客户收到了受污染的更新，其中包括跨国公司和美国政府机构在内的数十家公司被入侵。

事实上，供应链攻击已经成为网络攻击的一个重要载体白宫的敦促美国政府已经采取了行动推出了正式全面努力来它的安全．

与此同时，欧盟网络安全机构预测该软件供应链受到的攻击将翻两番在注意到2020年和2021年上半年报告的66%的网络攻击是针对软件供应商代码后，在2021年。

该机构在报告中建议:“这表明，组织在使用第三方代码和软件之前，应该集中精力验证它们，以确保这些代码和软件没有被篡改或操纵。“供应链攻击的威胁格局。”

薄弱环节随处可见，最近的例子是Log4Shell去年12月，在无处不在的Log4J开源库中发现了零日漏洞，这是一个惊天动地的事件，促使全球企业争相寻找和修复这个问题。

最近，JFrog的安全研究团队发现了多个影响软件供应链的问题，包括与Apache Cassandra，npm (Node Package Manager)包，H2开源Java SQL数据库，以及PyPI开源存储库．

根据弗雷斯特研究公司(Forrester Research)的数据，2020年，近28%的组织报告了20次或更多的供应链中断预测今年60%的网络安全事件将由第三方问题引起。

弗雷斯特研究公司(Forrester Research)分析师写道:“随着网络攻击针对较小的供应商和供应商，第三方事件将会增加，太阳风式的头条新闻将困扰那些没有在人员、流程和技术这三方面进行风险管理投资的公司。”

开发人员现在是被期望的——有了正确的工具，他们就能够做到从他们首选的IDE检查安全性和遵从性问题(集成开发环境。)这就是这些评估在开发过程中必须——而且能够——开始的“左”距离。

如果这看起来有点过分，那就三思了。开发人员从公共开源和商业存储库中提取他们使用的大部分软件，盲目地相信它们不包含安全性和遵从性问题。你猜怎么着?其中大部分第三方组件存在漏洞和其他安全问题-其中超过30%的问题被评为“高”或“严重”国家漏洞数据库CVSS评分．

换句话说，当您的开发人员开始从互联网上下载库并将其作为构建模块使用在他们正在创建的软件中时，安全风险就开始了。它是所谓的软件供应链中的第一个环节——通常也是最薄弱的环节。

而且必须在整个开发生命周期中继续检查—一直到已经运行的软件，因为必须修复在生产中部署的组件中发现的漏洞。

通过将安全性和合规性检查集成并自动化到DevOps流程中，您可以更快、更自信地发布软件，因为如果及早发现问题，修复问题就更容易，成本也更低。

当安全和合规性测试从DevOps周期中分离出来时，它们就会成为降低DevOps速度的瓶颈，并且是在软件准备部署到生产环境之前的最后才添加进来的。

当安全性被当作事后的想法时，它通常没有得到正确的评估——如果有的话。在这种情况下，发布带有漏洞和违反策略的软件的风险非常高，使您的组织和客户处于数据泄露、勒索软件攻击、IP盗窃等危险之中。

这就是为什么“左移”是一个如此重要的概念，需要把握并实现到DevOps策略中。

的JFrog DevOps平台简化并自动化整个软件开发生命周期(SDLC)的安全性和合规性检查——从开发人员的ide一直到生产环境。

通过JFrog平台，特别是JFrog Artifactory二进制存储库管理器然后用JFrog x光DevSecOps工具，开发人员可以轻松地向左和全面地转移扫描他们的软件漏洞和许可证违规-从开发者从互联网上获取第三方组件的那一刻开始。

JFrog平台为DevOps团队提供了组成他们的所有组件的完全可见性软件分发，并使他们更容易“向左转移”，并在SDLC中尽早并经常纠正问题。

有关如何使用JFrog DevOps平台“向左移动”的更多细节，请观看我们的网络研讨会。左移表示DevSecOps成功”。