美国关于网络安全的行政命令:对DevOps意味着什么
美国政府将网络安全等同于国家安全。
这是最近的症结所在行政命令这不仅要求对软件应用程序进行审查,而且还将出台有关提供构成软件的所有组件的规定。如第一节所述:预防、检测、评估和补救网络事件是国家和经济安全的首要任务,也是必不可少的。”
这在某些方面可能听起来令人生畏,但最重要的是与美国联邦政府内部和与政府实体做生意的人有关。这些组织将面临新的合规和监管问题,这些问题将迅速蔓延到私营部门,并成为整个软件行业的标准。
但这种顺序在短期和长期内意味着什么?
期待什么
在不到60天的时间里,该命令表明将发布新的法规,包括“建议供应商测试其软件源代码的最低标准的指导方针,包括确定推荐的手动或自动测试类型(例如代码审查工具,静态和动态分析,软件组合工具和渗透测试)。”虽然我们不知道确切的规定,但可以肯定的是,重点将不仅仅是性能测试,还包括如何构建软件、测试和制造过程——软件清单或软件材料清单(SBOM)。
但别搞错了:美国政府正开始意识到网络攻击的危险,这将对整个行业产生巨大影响。
什么是软件物料清单(SBOM)?
对于那些不熟悉的人,什么是SBOM?就像汽车一样,软件由许多较小的部件组成,这些部件被设计成相互依赖地工作。只有当每个部件都按设计功能运行时,整个包装(汽车)才能正常运行。在一次软件供应链攻击中——比如最近的SolarWinds例如,“汽车”的部件在到达装配线之前就被损坏了,这可能会导致汽车故障。
目前的命令要求公司不仅要向政府出售最好的“汽车”,还要提供所有包含部件(如火花塞和灯泡)的详细信息。
虽然市场上的许多供应商解决方案都可以扫描软件来提供这种材料列表,但JFrog更进一步:我们不仅知道组件,还知道这些组件来自哪里,它们的功能,它们如何组装到汽车中,以及工厂的环境。然后,我们可以使用这些数据来帮助公司做出数据驱动的业务决策,例如自动停止装配线。我们不只是提供材料清单——我们是唯一的端到端创建清单本身的过程。
需要什么
除了将SBOM作为“仅仅是一个组件列表”之外,该命令进一步表明,将重点放在“确保和证明,在可行的范围内,在产品的任何部分中使用的开源软件的完整性和来源……”或“……安全的软件开发环境,包括以下行动:
- 使用管理上独立的构建环境;
- 审计信任关系;
- 建立跨企业的多因素、基于风险的身份验证和条件访问”
这种强调进一步表明,不仅专有软件,而且开源以及第三方软件组件以及开发和测试环境本身(记录和最小化对企业产品的依赖,这些产品是用于开发、构建和编辑软件的环境的一部分。hth华体会最新官方网站会受到审查吗新发现漏洞的潜在风险作为SBOM交付成果的一部分。
这对开发人员和DevOps实践者的中长期来说意味着什么?在短期内,左移将成为几乎所有软件交付的一个组成部分,因为私营部门采用这些标准是为了符合他们自己、他们的客户以及他们客户的客户。
如何准备
无论未来几周的标准如何,我相信,如果企业能够:
- 提供一份完整的软件组件清单以及它们在公司中的使用情况——这是唯一的事实来源
- 扫描所有软件包的漏洞和已知风险
- 来自上游的源代码和二进制文件的安全存储库;供应链的攻击(并展示这种能力)
- 对发现的组件进行影响分析
- 提供有关开发环境和管道组件的详细信息
- 证明安全管道中的每一步构建过程
- 能够自动停止危险的、不可信的或受感染的进程,以防止其继续
- 提供经过加密签名和验证的版本
- 将所有这些细节作为以不可变方式生成的SBOM的一部分提供
特别是在JFrog,我们正在研究所有这些领域,值得庆幸的是,许多这些特性和组件已经可以开箱即用了。随着美国政府的要求越来越明确,我期待着与合作伙伴和客户合作,以最有效的方式满足这些要求。
喜欢这篇文章吗?观看免费的网络研讨会录音。乔·拜登的安全命令:对DevOps意味着什么”
