SDLC安全:JFrog的个性化安全

的SolarWinds黑客，这已经影响了高知名度财富500强公司和大型美国联邦政府机构，把焦点放在了软件开发安全上——这是DevOps社区和JFrog的一个关键问题。在基本层面上，如果通过CI/CD管道发布的代码是不安全的，那么所有其他DevOps的好处都是徒劳的。

发生了什么事

IT监控和管理供应商SolarWinds说黑客破坏了其系统，并将恶意软件插入其软件构建过程猎户座的平台．几个月来，带有该漏洞的产品更新，旨在帮助黑客利用后门入侵客户的Orion服务器。

据估计，大约有1.8万名用户收到了受污染的更新12个被破坏了．受影响的包括微软美国国土安全部(DHS)和网络安全供应商FireEye首先检测到这个月的攻击是在黑客窃取专有的安全工具它为客户提供的服务。

显微镜下的SDLC安全

SolarWinds利用安全的开发生命周期构建所有产品，包hth华体会最新官方网站括架构审查、静态和动态代码分析以及开源分析加强了SDLC安全，包括:

• 进一步限制对其构建环境的访问权限
• 为新构建使用新的代码签名证书
• 回顾构建环境的体系结构、访问它的特权用户和非特权用户，以及围绕它的网络

这也是报道公司可能无意中暴露了FTP凭证去年在Github的公共存储库中，提出问题这是否可能是黑客入侵其系统的途径。

推出一个全面的、整体的DevSecOps策略是必须的，特别是随着开源软件的指数级增长，我们知道开源软件经常包含漏洞和其他安全错误。点击推特

令人不安的趋势

这种类型的缺口，被称为上游供应链攻击，已成为越来越受欢迎在黑客中，因为它提供了一个极有效矢量．网络罪犯利用软件供应商和客户之间的信任关系，对被认为是安全的代码下毒。黑客的恶意软件隐藏在合法软件中，并通过其他官方分发方式在不知不觉中发送给成千上万的客户。

JFrog能帮什么忙

JFrog一直在让人们意识到DevSecOps多年来一直在为其平台构建安全功能。我们的信念是，安全性必须端到端地融入SDLC——从设计到生产。

这样，安全漏洞——漏洞、恶意软件、错误配置、策略违规等等——就可以及早、经常地被发现，并在不良行为者有机会利用它们之前立即加以修复。

这是一项广泛而复杂的工作，需要一种全面的、多维的方法，其中包括应用程序安全性、基础设施安全性、数据安全性和全面的基于角色的访问控制(RBAC)。

下面是我们为DevSecOps提供的简要概述2022世界杯32强赛程表时间 ，以及一些建议。

JFrog x光

JFrog x光是我们的DevSecOps工具，旨在提供持续的安全性和通用工件分析。通过对容器和软件工件的多层分析，这软件成分分析解决方案扫描漏洞和检测许可证遵从性问题，并帮助您快速采取适当的措施。

JFrog x射线是与JFrog Artifactory原生集成，我们平台的旗舰组件，提供优化的扫描，统一的操作，以及一个单一的玻璃视图到您的文物的安全以及合规问题。漏洞的识别和构建的可追溯性是不可分割的。您必须将安全性和许可遵从性紧密地编织到工件管理系统中。这样，当检测到一个漏洞时，您就知道它是如何到达那里的，以及它是如何影响其他一切的。

此外，Artifactory提供了细粒度的RBAC功能，因此您可以限制对工件的访问，并确定要授予何种访问权限，例如读写或只读权限。此外，Artifactory丰富的元数据为您提供了工件的完整可跟踪性。这样，您就可以立即对漏洞做出响应，并在几小时内，而不是几天内，使用未受损害的组件生成新的安全构建。

JFrog Xray的深度递归扫描使您能够看到所有底层和组件的依赖关系，并提供完整的影响分析，因此您可以了解哪些工件包含不安全的组件。它以DevOps的速度连续地完成所有这些工作，因此您可以在SDLC中及早并经常识别和修复违规行为甚至直接从您的IDE中-在周期结束时不会产生安全检查瓶颈。

尝试手动完成所有这些工作，并且使用不能很好地互操作的不同点工具，会减慢您的速度，并阻止您精确和大规模地确定安全问题-使您面临违规的风险。

JFrog管道

就像我们之前的解释在美国，保守秘密可能是一项挑战CI / CD工具．它们必须连接到许多其他服务，每个服务都有自己的密码或令牌——这些数据必须被网络骗子屏蔽。

JFrog管道从一开始就为保密而设计，具有本机内置的秘密管理。通过其集成功能，Pipelines将中央秘密管理与JFrog平台的粒度访问权限相结合。它的开箱即用集成包括GitHub、Bitbucket、Docker、Kubernetes和Slack，以及AWS、GCP和Azure等公共云平台。

通过管道集成，您可以共享安全的资源，同时保护授权使用这些资源的秘密。2022世界杯阿根廷预选赛赛程使用JFrog平台的统一权限模型，您可以授予需要访问权限的人访问权限，并阻止其他人访问权限。这一切都自动化并简化了保护秘密的过程，使其不被无意中暴露或从CI/CD工具中主动窃取。

最佳实践

推出一个全面的、整体的DevSecOps策略是必须的，特别是随着开源软件的指数级增长，我们知道开源软件经常包含漏洞和其他安全错误。正如我们在这里概述的那样白皮书，这些建议为启动或微调您的DevSecOps实践提供了坚实的基线:

• 将DevSecOps作为SDLC的基石
• 向您的开发人员和运营团队灌输安全知识和所有权
• 利用安全性和遵从性最佳实践，并采用持续改进策略
• 使用一套集成的DevSecOps工具这可以使安全和治理自动化
• 确保您的工具集包含一个通用的软件组合分析解决方案
• 利用最全面、及时的漏洞情报数据库

我们也联系了基于风险的安全,他的VulnDB漏洞数据库漏洞情报副总裁Brian Martin与我们分享了这些技巧:

• 对于从受信任的供应商那里接收软件更新的公司:实践尽职调查，并拥有适当的以安全为中心的策略，以接受来自任何来源的代码贡献。虽然这是时间密集的，但每个代码更改都应该至少经过两组眼睛。这样，如果凭证被滥用以向项目中注入新代码，第二个人将负责检查该代码。

• 对于DevOps团队来说，为了防止他们的管道被黑客破坏和代码被篡改:DevOps团队应该定期审查他们软件中使用的第三方代码。他们还需要它吗?项目是否被积极维护?代码中是否有漏洞历史记录?该项目是否有一个政策，包括审查外部各方的贡献?这些都是需要问的重要问题。

注册一个免费的JFrog云帐户并亲身体验Xray的深度递归扫描和影响分析功能如何提高整个DevOps管道的安全性和合规性。