白皮书- JFrog Xray -您所依赖的开源软件的安全性和合规性

介绍

随着软件支撑和推动所有业务流程，DevOps团队与公司的竞争地位保持一致，并直接影响公司的竞争地位。他们的工作——持续创建和增强关键业务应用程序——影响着收入增长、运营效率、客户满意度、品牌声誉等等。因为它们已经成为业务成功的关键，DevOps团队每天都面临着精简和加速软件开发和交付的巨大压力。然而，在他们渴望通过自动化和协作来加速他们的软件管道时，DevOps团队不能忽视安全性。如果他们向员工和客户交付不安全的应用程序，DevOps的好处就会蒸发，他们的业务也会受到影响。

不要忽视安全

不幸的是，正如GigaOm分析师Jon Collins最近观察到的那样，对于许多企业的DevOps团队来说，安全性仍然是一个事后考虑的问题。他在一篇博客文章中写道:“通常情况下，安全问题是在部署之前才被纳入时间表，这可能会导致最后一分钟的头痛和重大延误。”

因为DevOps团队移除了传统的大门和护栏，并使用更多的分布式、混合和组组化技术，比如云，容器和微服务他们面临着新的安全挑战，这些挑战是传统工具和流程无法克服的。”ESG Research分析师Doug Cahill写道:“DevOps的持续集成和持续交付(Cl/CD)过程对网络安全计划的影响与这些方法所管理的应用程序和基础设施的变化一样大。”

以集装箱为例。由于其可移植性、可伸缩性和灵活性，它的流行彻底改变了云原生应用程序的开发，但组织必须使用新的最佳实践和工具来保护它。正如Forrester Research的分析师Sandy Carielli在一篇博客文章中指出的那样:“安全专家被引入的时间较晚，他们的任务不是最优的，而是应用现有的工具和传统的安全思维来保护容器，并发现这些工具无法胜任这项任务。”

然后是越来越多的OSS组件的使用，它有助于加快应用程序的开发，但通常包含安全问题，如漏洞。在IDC最近调查的开发者所构建的应用程序中，开源软件(OSS)几乎占了一半的代码。显然，使用这些OSS组件的DevOps团队必须正确地扫描和分析它们的安全性和遵从性问题。

DevOps团队面临的其他安全挑战包括越来越多地使用混合云环境，以及组织和后勤障碍，例如孤立的安全团队。随着这些挑战的堆积，许多IT团队已经开始积累越来越多的安全点产品，这些产品通常不能互操作，并且改变了已定义的开发工作流，以进一步了解DevOps安全性和遵从性实践的云可见性。hth华体会最新官方网站

“组织被多个测试工具提出的问题的数量和重叠所淹没，使优先级和缓解变得复杂，因此集成App 保护ESG分析师Dave Gruber写道。

不出所料，网络犯罪分子已经注意到了这些挑战。他们总是在寻找新的和有效的黑客载体，他们越来越多地瞄准软件开发管道。例如，他们拥抱了上游供应链攻击，它们在软件开发阶段悄悄感染软件提供商的代码。通过这种方式，黑客的恶意软件隐藏在合法软件中，并通过其他官方分发方式发送给成千上万的客户。此类攻击的一个引人注目的例子是2020年底的SolarWinds黑客攻击，该攻击影响了著名的财富500强公司和美国联邦政府机构。

DEVSECOPS

为了保护DevOps管道免受漏洞、错误配置和其他安全漏洞的影响，我们需要的是一种能够在整个管道中自动化并嵌入安全检查的方法软件开发生命周期。这叫做DevSecOps。正如GigaOm的Collins在他的报告《GigaOm评估DevSecOps工具的雷达》中所解释的那样，DevSecOps的原则是“尽早将安全最佳实践引入基于devops的软件创建、交付和运营中”，而这些工具应该“自动化最佳实践，增加管道并支持开发活动”。借助DevSecOps，组织可以快速、持续地检测其软件中的安全性和合规性问题——从设计到生产。这样，当发现问题时，DevOps团队可以立即在他们的Cl/CD过程中“左移”，并在有问题的不安全代码移动到下一阶段之前修复它。“从历史上看，即使公司采用了新的DevOps实践，安全团队通常仍然存在于筒仓中，没有采用‘连续的方法’。“随着安全越来越受到重视，将其纳入自动化领域的趋势正在上升。DevSecOps是数字化转型之旅的天然跳板，”投资银行Cowen在一份报告中写道。

我能帮你什么忙

在本白皮书中，我们将解释如何使用JFrog DevOps平台-特别是JFrog Artifactory，一个通用的工件repository manager,JFrog x光，一个针对开源软件的漏洞扫描工具。继续阅读，了解如何获得持续和全面的安全性和合规性，以及使用JFrog作为DevSecOps核心的SDLC的完全可见性和控制。