博客家

软件供应链超级英雄:二进制管理加上安全

通过肖恩·普拉特和保罗·加登

7分钟阅读

今天去参加任何DevOps或安全会议,你很可能会看到“确保软件供应链的安全,以这样或那样的形式出现在大多数摊位上。这是有充分理由的。最近的数据显示,供应链攻击已经超过两倍到2021年,这一趋势可能会继续下去。

领先的公司是否在积极反思他们的方法如何开发和发布软件。他们会问一些核心问题,比如:

  • 我们应该使用哪些安全工具?
  • 围绕OSS的使用应该有什么政策?
  • 我们应该如何存储二进制文件和包?
  • 谁来决定什么是可接受的风险?

这些看起来可能是独立的问题。但在当今迅速演变的威胁形势下,这些问题是高度相互关联的。为了解决这些问题,组织需要在紧密集成的解决方案中进行二进制管理和安全性。原因如下:

二进制文件:供应链中的链接

确保软件供应链(SSC)的安全首先要了解其中的内容。一个通用二进制管理解决方案,例如JFrog Artifactory二进制文件、包和组件对于您的组织在一个地方使用的所有软件技术—供应链的单一事实来源。

强大的元数据意味着二进制文件不仅可以存储,还可以跟踪,从而提供其来源和使用情况的完全可跟踪记录。校验和验证等其他功能有助于确保每个组件都是它所声称的,并且没有受到损害。

当使用基于角色的访问控制的强大权限管理工具进行管理时,您的软件供应链可以在已建立的安全信任圈内运行。在这个圈子内,开发人员可以在团队内部或跨团队安全地共享不可变的软件组件来创建构建。

“(在Artifactory)拥有一个集中的、管理良好的存储库,每个人都可以通过特定的控制访问它,并确保安全性和标签到位,这对于Monster尽可能快地做出反应至关重要。”
- - - - - -首席架构师怪物

DevOps和站点可靠性工程师可以将各种构建、QA和编排工具连接到这些存储库中,以便更好地控制不同系统/工具之间的二进制文件流,并确保开发人员始终使用他们认为的资产集。

第二步:强化信任圈

安全工具是阻止恶意或易受攻击的组件进入实时生产软件的防线。由于软件供应链是由二进制文件组成的,因此这是您的安全态势最需要关注的地方。

一旦你为二进制文件建立了一个安全的信任圈,一个以二进制文件为中心的安全解决方案JFrog x光可以强化这个循环,通过提供对二进制文件内部内容的自动警戒以及它们被利用的脆弱性。

“有些事情(x光)它将自动扫描中央知识库中的所有内容,无需定制,这真的非常非常强大。”
- DevSecOps高级经理日立Vantara

当然,识别漏洞只是第一步。你也需要了解漏洞的影响,知道如何最好地解决它们,并在必要时阻止它们进一步使用。

不依赖于单一事实来源的安全点解决方案可以识别在开发管道中特定位置发现的问题,但可能需要多层保护来确保整个软件供应链的安全。安全性是贯穿整个SDLC的一个综合问题,从第一个拉取请求,到每个构建,通过测试,最终验证以及发布之后。当二进制文件在具有强大元数据的统一系统中集中管理时,可以从端到端构建安全性。

此外,现代应用程序很少独立存在——企业的应用程序库存是高度相互依赖的,第三方和第一方组件都经常被重用。单个易受攻击的包可能不只在一个构建中使用,而是在数百个构建中使用。由丰富元数据证明的二进制文件的安全真实圈可以快速掌握漏洞对供应链中每个二进制链接的影响。

Dev + Sec: 1+1 = 3

当涉及到保护组织的软件供应链时,没有比JFrog DevOps平台用人工和x射线。二进制文件是软件开发的核心组件,JFrog的核心竞争力就是二进制文件——管理它们,保护它们,将它们打包到软件更新中,将它们交付并部署到边缘和运行时。

当然,安全性不会随着应用程序的部署而结束。“零日”问题,比如最近发现的log4jSpringShell漏洞可能在应用程序投入使用很久之后才会暴露出来。当这些情况发生时,安全团队需要紧急识别所有对于包含严重易受攻击的库的组织应用程序,确定其影响,并快速修复它们。只有在统一系统中集中管理二进制文件,并内置安全性以有效评估新发现的风险时,才有可能实现这一点。

当一个严重的漏洞在非常流行的log4j库中被发现时,无数的组织受到了影响,世界各地的安全团队失去了周末和假期来确保他们的软件不受攻击。然而,使用Artifactory和Xray的JFrog客户能够完全修复log4j问题快速跨越整个开发组织,防止易受攻击的组件被进一步使用,通常在24小时内完成。

“当log4j出现时,最简单的事情就是生成一份报告,报告哪些应用程序有易受攻击的依赖,修复它,然后我们就可以开始了。”
-开发运维工程师本迪戈和阿德莱德银行

有了JFrog Artifactory和Xray,安全性就不仅仅是“添加”到DevOps工作中的东西了。相反,它被周到地集成到二进制生命周期管理过程中内容管理从创造到消费。例如,使用x射线进行安全扫描可以发生在二进制版本升级的每一步(从构建到发布),并作为自动化产品发布的看门人。

当您将安全扫描功能(作为提升看门人)与Artifactory的发布包签名功能(确保不变性)结合在一起时,您将获得可以信任的安全发布版本,其中包含您期望的软件组件。

这两个统一的JFrog平台服务提供了一个全面的解决方案,从二进制文件进入组织的DevOps生态系统之前,一直到生产环境中运行的二进制文件,都可以确保软件供应链的安全。

这种全面的安全方法是大多数受监管行业的领导者依赖强大的JFrog平台来管理他们的二进制文件和保护他们的软件供应链的原因。

大规模的端到端软件供应链安全

无缝地管理如何、何时以及在何处使用包,并且毫不费力地发现、修复和加强整个开发环境中的漏洞,这些漏洞来自单一的事实来源。

  • 在DevOps、工程和安全之间建立透明度和效率
  • 了解你的供应链中有哪些第三方包,它们的使用是安全的
  • 在整个SDLC中使用集成检查和门来提高安全性
  • 有了一个单一的事实来源,就能看到大局,轻松采取行动

它们本身就很棒。在一起更好。JFrog Artifactory + Xray是管理和保护您的软件供应链的领先组合。

受欢迎的标签

试试JFrog平台

在云中或自托管

开始试验

预订演示