以最快速度实现全球安全:多区域和混合DevSecOps @ AWS re:Invent 2022

-所以，今天我们要谈谈
以最快的速度讨论全球安全问题。
是的，这是一堆模糊的词。
但首先，让我介绍一下我是谁。
我是威廉·曼宁还是比尔·曼宁，
随你怎么说。
我是解决方案架构师
同时也是JFrog的解决方案工程经理。
如果你不知道JFrog是谁，
我们是(模糊的)小公司
你从来没听说过。
所以我们的主要产品，你可能已经知道了
叫做Artifactory。
全球有7000多家组织使用我们，
几乎100%的财富100强企业
前十大汽车制造商，
世界十大银行。
我们管理公司使用和生产的软件。
所有东西都来自传递依赖
它们构成了你的软件
对你开发的软件，
我们有超过30种现成的包类型支持。
这是我们说话的原因之一
About also global
你可以把我们的产品，
在全球多个地区安装它。
我们的客户什么都用
从单个实例来看，
在他们的AWS VPC内运行，
一直到38个全局安全实例。
问题是，
这就是我们今天要讨论的，
除此之外，
事实是我们是治理委员会成员吗
云原生基础。
我们也是CNA，
我们也是经过认证的CVE编号机构。
最重要的是，
我来这里更重要的原因是这个。
软件供应链安全。
我们经常听到这种说法。
每个人都知道这个词
还有一系列的短语
因为像太阳风这样的东西，对吧?
SolarWinds影响了全球18,000名客户。
实际上是1000亿美元的补救措施。
为了让你知道，
导致这个问题的是一个传递依赖。
用于构建软件的依赖项
是太阳风公司推出的
在这种情况下，
它恰好是第五级传递依赖。
所以这甚至不是直接要求的。
它是一路走来的。
它被称为间接传递依赖。
问题是，
当你谈到软件供应链时，
JFrog做的是，
你的代码在最上面。
问题是，
你们开发的软件中有85%到90%
无论是低级的C代码，
一直到事情
比如Docker容器和编排
其实是别人的。
这些是你不认识的人。
问题是，
当你谈到软件供应链时，
我们今天遇到的一个关键问题是，
开发者都是工匠。
我们就说出来吧。
他们是艺术家。
代码是他们的手艺。
这就是他们所做的。
为了完成他们的工作，
它们依赖于这些依赖项。
问题是，
那你怎么知道有多安全
这些组件是什么?
问题是，
我喜欢这句话。
这句话是我最喜欢的一句话
我见过的最好的。
每次pip安装时，点击get，点击mvn fetch，
这也包括掌舵更新，
这也包括Docker pull。
这基本上相当于拿一个u盘
你在街上找到的
并将其插入到生产服务器中。
这听起来一点都不安全，对吧?
或者你把东西上传到AWS，
你正在提取Docker图像，
我要给你们看一个例子
几分钟后就会发生可怕的事。
但问题是，
你是怎么做到这种程度的保护的
确保你的公司不会成为头条新闻。
99%的代码库，
你知道，85消耗，
其中75%至少包含一个主要漏洞。
想想看。
你根本不知道这是怎么来的
你在介绍一些东西
这可能会威胁到
你公司的声誉，财务状况。
背后有很多不同的方面。
问题是，
这是我们分析的代码库的49%吗
至少有一个高风险项目。
想想这个。
我的意思是，这就像暴露你的端口，
或者你知道，创建一个，
我一会儿会给你们举个例子。
在我下载的Docker容器中有一个服务
这就启动了一个服务
并向亚洲的某个地方发送请求。
它建立了一种联系
并开始从我的容器发送数据。
不知道它去哪了。
问题是，
另一件事是它们的寿命。
这些实际的软件传递依赖关系
你的开发者使用，
其中90%都是旧的，过时的，从未更新过的，
或者它们已经被完全抛弃了。
问题是，
这是你们都应该害怕的数字。
650%的供应链攻击。
开发人员用来完成工作的软件
是高度妥协的。
所以我们在JFrog的安全方面所做的
我们有端到端的DevSecOps
从左移一直到右移。
我们也完全通过SDLC工作。
所以我们也管理软件开发生命周期
你写的每一段代码，
甚至像Docker映像这样的组合实体
在这里创建应用程序并托管它们。
当您这样做时，我们还可以帮助加快发布速度。
并通过准备实际的安全措施来加强你所做的事情
使用我们的x射线产品
从开发到部署，
或者代码到云。
我和美国军方有很多合作，
我们说从编译到战斗。
同样，我们也会和你的组织一起扩大规模。
所以我们提供全球覆盖
让你的组织完成他们的工作
在确保安全与保障的同时
我们还简化了您的合规能力。
现在外面的每个人
讨论软件物料清单。
(听不清)在我们的终点。
原因是在2021年5月，
拜登政府
作为对太阳风事件的回应，
制定一系列的指导方针。
其中的一个指导方针是
是整个想法吗?
有一个软件物料清单。
的成分。
顺便说一句，有趣的故事，软件材料清单
实际上是第一个被提出的
食品和药物管理局
因为医疗设备有软件。
而软件设备，
你需要有责任感。
因为如果你装上心脏起搏器
用邪恶的材料，
你突然杀了人
你会想知道的。
除此之外，
我们实际上从各个方面看
你在其中构建你的软件。
就像我说的，不管你是租赁经理，
无论你是安全管理员，
无论你是否是一名开发者，这都不重要。
我们提供工具使工作更容易
对于整个组织来说。
问题是，
我们可以扫描任何类型的内容。
顺便说一下，我们最近，
作为代码分析引入基础设施。
所以如果你在使用Terraform之类的东西，
您是否有可能部署您的基础设施
以不好的方式?
我们扫描Docker容器。
现在，不仅仅是应用层，
但是操作系统，运行时
所有组成它的部分。
我们也全面整合，
我们是真正的宇宙
在我们部署和建设员工方面。
所以你可以用任意CI，
你可以使用任何CD。
你可以用你想要的方法来积分。
我们使它具有完全的延展性和可部署性。
从第一天起，你就能看到一切
当你开始利用我们的时候
你的软件是由什么组成的?
它是怎么做的?
软件的生命周期是怎样的?
我为什么要这么做?
我们也提供保护
比如恶意代码检测。
我们还提供零日分析之类的东西。
除此之外，
市面上的任何产品，保安都能告诉你
什么时候，发生了什么，
我们会告诉你地点和时间
以及它对你的影响。
你可以掌握自己的命运
通过控制你的安全姿势，
事实上你也可以是混血儿。
所以如果你，
我们有很多公司
听到这种数字化转型，
最新的搬家流行语
从你自己的数据中心到AWS。
上周我和AWS做了一个演讲
以及如何使用我们的平台
将您的开发组织从您自己的数据中心迁移出去
直到云本身
使用我们的技术，比如复制。
最重要的是，
当我们开始这样做的时候，
我们现在已经进入了下一个部分。
问题是，
不仅仅是你使用的部件，
还有引入的东西。
所以我们现在也在做基础设施代码分析。
我们实际上可以展示秘密探测。
我们有恶意代码检测，
还有应用程序级别的曝光
还有服务风险敞口。
我将展示一个Docker容器的例子
其实是我从网上下载的
将我们的扫描结果与之比对。
当我给你看里面的东西时，
这很可怕，
因为我所做的就是输入Docker Python主机，
它返回了一个链接，指向Docker中心的图像
来运行Python代码。
所以很快，
让我给你解释一下平台
以及为什么它很重要。
我们要从这里开始
我们会从开发者到部署。
我们的主要成分，
基本上是我们所做的技术的基石
是我们的人工组件。
Artifactory是通用二进制存储库管理器，
正如我之前所说的，
超过30种包装类型。
所以我们实际上是在维护和管理
第三方传输依赖
你曾经构建过你的软件
还有你生产的软件。
我们将其与我们的x射线产品结合使用。
x射线是我们的安全标准，
许可证，你知道，漏洞。
还有一个新的概念叫做操作风险。
开源项目的健康状况如何
为您提供软件
你正在使用的，
你用来构建它的库?
所以最右边的是
我们有右移，
我们有分布和连接。
发布是你生产软件的一种方式
比如web服务，你有Helm charts和Terraform
以及构成web服务的Docker镜像。
您已经设置了AWS
在全球多个地区，
你可以使用我们的人工边缘节点
要部署软件
更简洁地说。
在那里加一层安全措施
确保事情顺利进行
你投入生产的产品是安全可靠的，
甚至直到部署前的最后一分钟。
下面是Connect。
连接是我们的物联网流程。
物联网在MDM方面，
这是一个设备管理器。
它也是一个设备更新程序，
这是一个远程诊断工具。
最重要的是，
你也可以拉木头之类的东西，
还可以发送事件和获取相关信息。
我们有一些最大牌的
在这个空间里利用这个，
在一些军事组织中也是如此。
在这个底部，
我们有JFrog pipeline。
它是我们的CI/CD, NCI编排工具。
它实际上完全是用Kubernetes构建的。
您可以设计运行时
去执行你想要的。
无论是基于debian，基于centos还是基于windows。
无论好坏，它都是基于YAML的。
你可以扩展它，
您还可以将其模板化以使其更容易
来实际实施。
与此同时，
我们不做插件，我们做集成。
这是完整的本地API集成，
这是第三方资源。2022世界杯阿根廷预选赛赛程
现在，说到安全，
我们讨论了最重要的是什么?
有些事你应该知道，
我们有ID插件之类的东西
这样，你就可以，
你的开发人员可以继续工作
并攻击安全漏洞和问题
在最重要的地方。
在任何组织中投资回报率最高的地方，
这是在开发商。
正如我所说，所有的开发人员都是工匠。
与此同时，
我们代理任何第三方请求
他们通过Artifactory使用的库
面对外面的世界，
我们把他们带进来，
然后我们将它们分发给开发者。
如果你的组织里有1000名开发人员，
开发人员零带来了一个库
以及它所有的及物朋友。
这意味着所有其他999名开发者
可以用同样的东西。
我们也可以用x射线，
在使用这些二进制文件之前对它们进行预估。
换句话说，
开发人员所依赖的库，
我们可以评估它们是否有安全漏洞，
任何安全问题都要先发制人
在他们使用之前。
您也可以将其集成到任何CI环境中，
不管你用的是Jenkins，
不管你用的是Buildkite还是Azure DevOps
无论你在组织中使用什么。
因为我们意识到，
所有的DevOps组织
使用大量不同的材料。
问题是，
我们要全盘接受吗
我们一直走到最后，
同时也给予能力
制作软件物料清单
我之前说过。
这里有一个MPM的例子
我正在研究的东西
我正在做这个项目。
我们实际上已经打破了等级制度
第三方可传递依赖的
我的项目需要的东西
我也可以向你们展示我发现了所有这些cve
这个叫做Lodash的图书馆
我现在正在利用的。
作为一个开发者，我也可以，
知道我在介绍一些潜在的恶意内容
到我创建的代码中。
问题是，
我们还提供了补救分析。
作为开发者，我可以，
在我需要的地方纠正它
通过实际上传，
你知道，通过实际利用我需要的那些。
所以我从网上下载了这个容器，
其中一件事是我发现了所有这些真实的威胁
以及内心的脆弱。
这些都违反了我所发现的一切
在这个默认容器中。
但我只剩下几分钟了，
我要给你看一些有趣的东西。
首先，
这里是我发现的一系列漏洞
在这里面。
现在，大多数工具可以直接告诉你，
顺便说一下，你有这些，
我想我不应该站在那里
你有这些问题。
早期发现是关键，
但另一个问题是，
你还需要调查吗
不管你是否在使用，
也许是邪恶的成分。
如果它是一个有100个函数的库，
一个是坏的，
你会把它扔掉吗?
我们刚刚推出了一个新功能，
这个想法很简单。
这叫做适用性。
这里真正有问题的是CVE，
它适用于你使用它的方式吗?
所以如果你看这里，
你可以看到，
这个CVE是适用的。
我可以进去，
它会告诉我去哪里修。
缩短了修复时间
到分钟，而不是小时
或者可能更长。
但我也可以告诉你
即使说，图书馆很糟糕，
就像这个例子，
这实际上是，
顺便说一下，如果你们熟悉的话，
用cve和CVSS评分，这是9.8分。
也就是说这会毁了你的公司
如果你用它，就会摔到地上。
问题是，
它是一个函数。
in表示，如果我使用这个函数，
我就违反了，
但我不是。
所以我们让你知道
你可以继续使用这个库
威胁更小，除非是你干的。
现在，我们的产品是连续扫描的
相反，
因为我们拥有二进制文件。
这意味着当你看到这些信息时，
你有快速补救。
这是最让我笑的一个。
秘密,对吗?
我们都知道秘密。
好吧，看看这个。
我下载了这个，
这是一个清晰的图像。
但是当我们做扫描的时候，
它让我知道这里有游戏，
基本上找到了api键。
顺便说一下，如果你仔细看，
它们实际上是AWS。
这是从某个地方传来的。
但是看看这个，
我在哪里找到这些API键?
实际上，它在斜杠，根，点，灰下面，
强调,历史。
所以这些实际上是作为历史函数保留下来的
而不是那些公开的东西。
没有人进去，
在本例中清除了根用户访问权限。
我们还做的其他事情是，
这就是我告诉你的关于服务的事吗
这是暴露的，
嗯，就在这里。
这个服务实际上是在这个容器中运行的，
当我开始的时候
我用窃听器闻了一下
发现我其实是在建立
一个与世界上某个地方的TLS连接，
还有我容器里的所有数据
是通过管道输送的。
问题是，
这是理解其中的各个部分吗
真的很重要，
甚至归结到事实
如果你在使用，
比如Docker容器镜像
你可能有。
你知道，任何其他Docker注册表，
就像这样，对吧?
我向你展示容器层的能力。
但我也可以向你们展示，
如果您在我们的平台上使用Artifactory，
这是Docker镜像的应用层。
如果我问你在普通的Docker容器中
什么在运行，很难说。
而且，
能够理解你在哪里使用它
以及它是如何被使用的。
因为我也可以告诉你，
这是产生它的构建
这是每个用过它的容器。
所以这不仅仅是检测，
这不仅仅是内部的问题，
但是要了解数据才能继续
并进行补救
做你需要做的事。
所以我们提供端到端的工具，
我们是可信的消息来源是有原因的
说到这个。
我知道我还有几分钟时间，
我再试着按一下按钮
我按按钮。
好了。
我想说的是，
过来，我们其实在另一边。
我想大概是40,4800吧。
是那边的其中一个地址。
我们对所有这些组件进行了端到端的完整演示。
我只是想感谢你的时间，
如果有任何问题就来找我。
我就在你身边。