博客家

软件供应链超级英雄:二进制管理加安全

通过肖恩·普拉特和保罗·加登

7分钟阅读

今天去参加任何DevOps或安全会议,你很可能会看到“保护您的软件供应链,以这样或那样的形式在大多数展位上大肆宣传。这是有充分理由的。最近的数据显示,供应链攻击已经发生翻了一番多2021年,这一趋势可能会继续下去。

领先的公司都在积极反思自己的做法如何开发和发布软件.他们会问一些核心问题,比如:

  • 我们应该使用哪些安全工具?
  • 关于OSS的使用应该有哪些政策?
  • 我们应该如何存储二进制文件和包?
  • 谁来决定什么是可接受的风险?

这些看起来很像独立的问题。但在当今迅速演变的威胁形势下,这些问题是高度相互关联的。为了解决这些问题,组织需要一个紧密集成的解决方案中的二进制管理和安全性。原因如下:

二进制:供应链中的环节

保护软件供应链(SSC)首先要了解其中的内容。一个通用二进制管理解决方案,如JFrog Artifactory,保存二进制文件、包和组件对于您的组织在一个地方使用的所有软件技术-供应链的单一真相来源。

强大的元数据意味着二进制文件不仅被存储,而且被跟踪,提供了其来源和使用的完全可跟踪记录。其他功能,如校验和验证,有助于提供确定性,每个组件都是它所声称的,并且没有受到损害。

当由基于角色的访问控制的强大权限管理工具进行管理时,您的软件供应链可以在已建立的安全信任圈内运行。在这个圈子内,开发人员可以在团队内部或跨团队安全地共享不可变的软件组件来创建构建。

“(在Artifactory)拥有一个集中的、治理良好的存储库,每个人都可以在特定的控制下访问它,并在适当的地方设置安全和标签,这对于Monster尽可能快地做出反应至关重要。”
- - - - - -首席架构师怪物

开发运维工程师和站点可靠性工程师可以将各种构建、QA和编排工具连接到这些存储库,以便更好地控制跨不同系统/工具的二进制文件流,并确保开发人员始终使用他们认为是他们的资产集。

SecOps:强化信任圈

安全工具是阻止恶意或易受攻击的组件进入实际生产软件的防线。因为软件供应链是由二进制文件组成的,所以这是您的安全态势最需要重点关注的地方。

一旦您为二进制文件建立了一个安全的信任圈,一个以二进制文件为中心的信任圈安全解决方案比如JFrog x射线可以加强这个圈子,通过自动警惕这些二进制文件中有什么,以及它们有多容易被利用。

“有些事情(x光)它将自动扫描真相中央存储库中的所有内容,无需定制,这真的非常非常强大。”
- DevSecOps高级经理日立Vantara

当然,识别漏洞只是第一步。你也需要这样做了解漏洞的影响,知道如何最好地解决它们,并在必要时阻止它们进一步使用。

不依赖于单一真相来源的安全点解决方案可以识别在开发管道中特定位置发现的问题,但可能需要许多层保护来确保整个软件供应链的安全。安全性是贯穿整个SDLC的一个综合问题,从第一个拉请求,到每个构建,通过测试、最终验证以及发布后。当二进制文件在具有强大元数据的统一系统中集中管理时,可以从端到端构建安全性。

此外,现代应用程序很少能独立存在——企业的应用程序库存是高度相互依赖的,第三方和第一方组件都有共同的重用。单个易受攻击的包可能不只在一个构建中使用,而是在数百个构建中使用。由丰富元数据验证的二进制安全真理圈可以快速掌握漏洞对供应链中每个二进制环节的影响。

Dev + Sec: 1+1 = 3

当涉及到保护您组织的软件供应链时,没有比JFrog DevOps平台用Artifactory和x射线。二进制文件是软件开发的核心组件,JFrog的核心竞争力就是二进制文件——管理它们,保护它们,将它们打包到软件更新中,交付并部署到边缘和运行时。

当然,安全性不会随着应用程序的部署而结束。“零日”问题,就像最近发现的log4j而且SpringShell在应用程序投入服务很久之后,漏洞就会暴露出来。当这些发生时,安全团队需要紧急识别所有组织中包含严重脆弱库的应用程序,确定它们的影响,并迅速修复它们。只有当二进制文件集中管理在一个统一的系统中,并具有内置的安全性以有效地评估新发现的风险时,这才有可能。

当广受欢迎的log4j库中出现严重漏洞时,无数组织受到影响,全球的安全团队失去了周末和假期,以确保他们的软件不受攻击。然而,使用Artifactory和x射线的JFrog客户能够完全修复log4j问题在他们的整个开发组织中迅速执行,并防止易受攻击的组件被进一步使用,通常在24小时内完成。

“当log4j出现时,最简单的事情就是生成一份报告,说明哪些应用程序具有脆弱的依赖关系,并修复它,然后我们就可以继续工作了。”
- DevOps工程师,本迪戈和阿德莱德银行

有了JFrog Artifactory和Xray,安全性不仅仅是“添加”到DevOps工作中的东西。相反,它被仔细地集成到二进制生命周期管理过程中——从内容管理从创造到消费。例如,使用Xray的安全扫描可以发生在二进制升级的每一步(从构建到发布),并充当自动化的生产版本看门人。

当您将安全扫描功能作为推广看门人,再加上Artifactory的发布包签名以确保不可变性时,您将获得可以信任的安全发布,其中包含您所期望的软件组件。

这两个统一的JFrog平台服务提供了一个全面的解决方案,从二进制文件进入组织的DevOps生态系统之前,一直到二进制文件在生产环境中运行,确保软件供应链的安全。

这种整体安全方法是最受监管行业的领导者依赖强大的JFrog平台来管理他们的二进制文件和保护他们的软件供应链的原因。

大规模端到端软件供应链安全

无缝管理使用包的方式、时间和位置,并从一个真实来源轻松地在整个开发环境中查找、修复和加强漏洞。

  • 在开发运维、工程和安全之间建立透明度和效率
  • 了解您的供应链中有哪些第三方软件包,并且它们是安全使用的
  • 通过在整个SDLC中集成检查和门来提高安全性
  • 放眼全局,用单一的真相来源轻松采取行动

他们自己很好。在一起更好。JFrog Artifactory + Xray是管理和保护您的软件供应链的领先组合。

受欢迎的标签

试试JFrog平台

在云端或自托管

开始试验

预约演示