白皮书- JFrog x射线-您所依赖的开源软件依赖项的安全性和合规性

介绍

由于软件现在是所有业务流程的基础和动力，DevOps团队与公司的竞争地位保持一致，并直接影响公司的竞争地位。他们的工作——持续创建和增强业务关键应用程序——影响着收入增长、运营效率、客户满意度、品牌声誉等等。因为他们已经成为业务成功的关键，DevOps团队每天都面临着越来越大的压力，要精简和加速软件开发和交付。然而，DevOps团队急于通过自动化和协作来加快他们的软件管道，他们不能忽视安全性。如果他们向员工和客户交付不安全的应用程序，DevOps的好处就会蒸发，他们的业务也会受到影响。

不要忽视安全性

不幸的是，正如GigaOm分析师Jon Collins最近观察到的那样，对于许多企业DevOps团队来说，安全性仍然是一个事后考虑的问题。他在一篇博客文章中写道:“很多时候，安全问题是在部署之前才被纳入时间表的，这可能会导致最后一分钟的头痛和重大延误。”

因为DevOps团队删除了传统的大门和护栏，并使用了更多的分布式、混合和组件化技术，比如云，容器和微服务在美国，他们面临着传统工具和流程无法克服的新的安全挑战。”DevOps的持续集成和持续交付(Cl/CD)过程对网络安全项目的影响与这些方法管理的应用程序和基础设施的变化一样大，”ESG Research分析师Doug Cahill写道。

以集装箱为例。由于其可移植性、可伸缩性和灵活性，其流行已经彻底改变了云原生应用程序开发，但组织必须使用新的最佳实践和工具来确保其安全。正如弗雷斯特研究公司的分析师Sandy Carielli在一篇博客文章中指出的那样:“安全专家后来被引入，并留下了将现有工具和传统安全思维应用于安全容器的次优任务，并发现这些工具和传统安全思维并不适合这项任务。”

OSS组件的使用也越来越多，它们有助于加快应用程序开发，但通常包含安全问题，比如漏洞。由IDC最近调查的开发人员构建的应用程序中，开源软件(OSS)几乎占了一半。显然，使用这些OSS组件的DevOps团队必须正确地扫描和分析它们的安全性和遵从性问题。

DevOps团队面临的其他安全挑战包括越来越多地使用混合云环境，以及组织和后勤障碍，例如孤立的安全团队。随着这些挑战的积累，许多IT团队已经开始积累越来越多的安全点产品，这些产品通常不进行互操作，并更改已定义的开发工作流，以进一步深入DevOps安全性和遵从性实践的云可视性。hth华体会最新官方网站

“组织被多种测试工具提出的问题的数量和重叠所淹没，使优先级和缓解复杂化，因此集成App 保护ESG分析师戴夫•格鲁伯写道。

不出所料，网络犯罪分子已经注意到了这些挑战。他们总是在寻找新的有效的黑客载体，他们越来越多地瞄准软件开发管道。例如，他们已经拥抱了上游供应链攻击这种病毒会在软件开发阶段悄悄感染软件提供商的代码。通过这种方式，黑客的恶意软件隐藏在合法软件中，并通过其他官方分发方式发送给成千上万的客户。此类攻击的一个引人注目的例子是2020年底的SolarWinds黑客攻击，影响了《财富》500强企业和美国联邦政府机构。

DEVSECOPS

为了保护DevOps管道免受漏洞、错误配置和其他安全漏洞的影响，我们需要一种方法来自动化和嵌入安全检查软件开发生命周期．这叫做DevSecOps．正如GigaOm的Collins在他的报告《GigaOm评估DevSecOps工具的雷达》中解释的那样，DevSecOps的原则是“尽可能早地将安全最佳实践引入基于devops的软件创建、交付和操作中”，而这些工具应该“使最佳实践自动化，增强管道并支持开发活动”。有了DevSecOps，组织可以快速持续地检测其软件中的安全性和合规性问题——从设计到生产。这样，当发现问题时，DevOps团队可以立即在Cl/CD过程中“向左移动”，并在有问题的不安全代码转移到下一个阶段之前修复它。“从历史上看，即使公司采用了新的DevOps实践，安全团队通常仍然存在于竖井中，不接受‘持续的方法’。“随着安全越来越受到重视，将其纳入自动化领域的趋势正在上升。DevSecOps是数字化转型之旅的天然垫脚石，”投资银行Cowen在一份报告中写道。

jfrog如何帮助你

在本白皮书中，我们将解释如何使用DevSecOps策略JFrog DevOps平台特别是JFrog Artifactory，一个通用神器repository manager,JFrog x光，一款针对开源软件的漏洞扫描工具。继续阅读，了解如何获得持续和全面的安全性和合规性，以及以JFrog作为DevSecOps核心的SDLC的完全可见性和控制。