左跳安全:多拉报告圆桌会议

Lori Lorusso：
大家早上好，下午好。我是Lori Lorusso，感谢大家参加今天的安全飞跃:DORA报告圆桌会议。所以，我是JFrog的开源项目经理，我很高兴今天在这里主持我们的小组讨论。最后，我想介绍一下我们的小组，我们想从Eric Maxwell开始。

埃里克·麦克斯韦：
嗨,大家好。我的名字是Eric Maxwell，我在谷歌领导DevOps转换实践。我也是DORA核心研究团队的成员，《DevOps现状报告》的作者之一，同时也是谷歌的《企业DevOps指南》的主要作者。很高兴认识大家，谢谢你们的到来。

Lori Lorusso：
你看起来一点也不忙。下一位是来自锁链守卫的约翰·斯比德·迈尔斯。约翰的速度。

约翰·斯毕德·迈耶斯：
嘿。谢谢你邀请我。我叫约翰·斯毕德·迈尔斯。我是软件供应链安全公司Chainguard的一名安全数据科学家。在今年的DORA报告中，我作为贡献者参与了安全部分，特别是安全端口的软件供应链安全方面，很高兴来到这里。谢谢你！

Lori Lorusso：
谢谢你！最后，但绝不是最不重要的，纳提·达维迪。

Nati Davidi：
谢谢你，洛莉。大家好，我叫纳蒂。我在JFrog的安全产品部门领导了一年多的时间，自从收购了ViDU(一家专注于二进制分析的公司)以来。很高兴认识大家。

Lori Lorusso：
太棒了。所以，我只想提醒观众，为了让这个小组尽可能吸引人，为了让你们所有的问题都得到回答，你们必须问他们，所以如果你们有问题，请使用聊天功能告诉我们。我们已经有了一些入门级的问题，但我们很想听听你的想法，让这个小组对你来说更有趣。那么，首先，让我们来看看我们杰出的小组成员背后的个性，让我问一个一般性的问题。哦，实际上，让我们从DORA报告的高级概述开始，然后我们将进入我们的小组成员关于DevOps和安全性的想法。埃里克，现在交给你了。

埃里克·麦克斯韦：
好了，让我们跳到下一张幻灯片。我想我们跳过了几张幻灯片，如果我们能从第二张开始。好了。所以，我想先简单介绍一下DORA项目，对于那些不太熟悉我们正在做的事情的人。DORA代表DevOps研究和评估，我们刚刚完成了第八年的研究。在过去的8年里，我们调查了全球不同行业的3万3千人，我们采用了学术严谨的方法来研究能力和实践，这些能力和实践使公司成为高绩效的软件公司，从而成为高绩效的公司，我们将讨论我们如何建立这种联系以及我们如何从高绩效的软件转变为高绩效的组织。

我们研究的方式是，当我们看到能力时，当我们有有趣的发现时，我们会在未来几年去验证这些发现。我们也利用这个机会，在研究中向不同的方向发展。举个例子，去年我们决定在可靠性和安全性上加倍努力。所以，今年，在2022年，我们想要做得更深入，然后通过这个项目，我们在可靠性和供应链安全的主题上做得更深入，我们将在这里深入讨论。所以，这里有一个链接，它会把你带到我们的DevOps网站，在那里你可以找到标准的DevOps报告。如果你们不介意看下一张幻灯片，再看一张。也许我们的幻灯片不同步，没关系。

这个研究项目的一个产出是，八年，或者七年，因为我想我们跳过了20年。不，实际上我们已经发布了八份报告。我们发布了所谓的“DevOps状态报告”，并将其发布给大家阅读。同样，在屏幕上看到的那个URL，你可以下载今年的DevOps状态报告和之前所有年份的报告。我想从今年的报告开始，但我也觉得回顾过去几年并阅读过去几年的报告是非常有趣的，因为就像我提到的，我们在不同的年份关注不同的事情，所以会有不同有趣的发现，你可以通过一些研究和发现看到我们以前的情况和现在的情况。

所以，在一个非常高的水平上，我们发现的一些事情是，就像我提到的，软件交付是组织绩效的驱动因素。这种组织绩效被能够拥有高水平可靠性和高水平运营绩效的公司所放大。我们还看到，多年来，软件交付性能和组织性能主要有三个驱动因素，那就是文化、可靠性和云计算的使用。因此，我们也看到，推动组织绩效的主要因素之一是团队拥有持续改进的文化或精神。因此，与其在很长一段时间内考虑你的旅程，专注于卷起袖子并开始工作的团队会获得最大的成功。

那么，我们再进一步细化一些研究结果，关于安全实践，我们发现，安全实践水平低的公司有更高水平的倦怠，同时，安全实践水平高的公司有更好的组织绩效。我们还看到，技术实践是这一成功的一大驱动力。从技术实践的角度来看，它们本质上是相乘的，因此它们相互叠加，这意味着当你将不同的技术能力叠加在一起时，它们的总和与最终结果是不一样的，所以想想像基于主干的开发和CI/CD等等。事实上，我们看到，那些能够真正掌握并拥有高水平技术实力的公司，其组织绩效要高出3.8倍。

今年我们还看到，由于我们在可靠性上投入了三倍的精力，可靠性是组织绩效的一个重要驱动力。事实上，如果我们去年或前年讨论过这个话题，如果你问我:“嘿，埃里克，组织绩效的主要驱动力是什么?”我会说:“嗯，软件交付。”今年，我们通过数据看到的是，除非你有可靠性这一块，否则软件交付性能并不一定能预测组织性能，所以可靠性似乎是这里一个非常有趣的关键点。下一张。我觉得我的和你的搞混了，但我已经说过了，所以我们可以看下一个。接下来我要交给纳蒂。

Nati Davidi：
埃里克，谢谢你的开场，洛莉，谢谢你的配合，约翰为朵拉做了这么多努力。这是一个简短的个人说明，所以当我一年多前加入JFrog的DevOps公司时，我对DevOps相对来说是一个新人，但我确实在供应链安全方面工作了很多年，主要是从嵌入式方面和物联网以及专家缓解和软件漏洞阻止。突然之间，看到这两个世界是如何合并的，这在最近的报告中得到了很大的反映，并见证了最近关于软件供应链安全的账单、法规和标准的合并，正如Eric所提到的，它们与CI/CD和软件交付密切相关。对于我们来说，看到这一切是如何围绕JFrog的液体软件愿景进行连接的，以及如何确保这一切的安全，这是令人惊讶的。

这也是我现在想要分享的，关于二进制安全的一些见解，再一次，我们从哪里来的。我们最初从分析嵌入式系统开始，实时操作系统有一个非常明显的本质，就是一个或多个二进制文件的大堆栈，非常难以理解，是通过供应链安全以二进制文件的形式出现的东西的集合，这些东西很难理解，很难分析，很难反编译或反转。我们看到嵌入式的这种性质实际上也适用于任何二进制文件。看看SLSA框架，它在DORA的工作中得到了很好的强调，我们看到了JFrog工作和软件供应链安全的JFrog方法之间的很好的一致性，JFrog方法不仅基于安全引擎，而且基于JFrog Artifactory的基本性质，它是关于管理软件和管理软件从开发人员一直到生产的流程。

当我们尝试在两者之间进行匹配时，我们看到JFrog或JFrog的解决方案在许多方面可以帮助在现实世界中实际执行SLSA框架。现在，再次强调，JFrog最初的重点主要围绕二进制文件和二进制文件管理。从安全的角度来看，这是一个需要理解和分析的关键资产，不仅因为包是从外部以二进制形式进入软件的，比如小epm、容器、股骨，这并不重要，而且因为它更好地反映了现实世界中，在生产中将要发生的事情。二进制文件是攻击者攻击的对象，二进制文件是他们试图做事时看到的东西，它们保护我们不受生产环境的影响。

通常，在那里运行的不是源代码，因此，深入分析构建、容器、框架、最终版本、内部版本，以看到源代码分析的盲点，看到被SLSA映射为从a到H的威胁的东西，并在包周围没有元数据的情况下理解它们，这正是我们正在尝试做的事情。今天，我想通过我们最近发表的研究来举两个例子，这两个研究是关于分析二进制文件的重要性的两个不同方面。

一个是由于缺乏对供应链安全的认识，您如何发现可以被攻击者利用的安全暴露，另一方面，您如何通过获得真正需要修复的内容的更好上下文来使用二进制文件来减少开发人员的工作，而不是仅仅修复安全引擎识别的所有内容?那么，我想从下一张开始，如果你们能看下一张幻灯片，请看这一张。所以，我们的研究部门，顺便说一下，是我们行业中最大的研究部门之一，很多漏洞研究来自二元分析方法和它的自动化。他们实际上是从所有主要产品中提取了主要产品代币。hth华体会最新官方网站在某些情况下，他们不需要获取，因为您可以从这些产品的文档中获得指导方针，他们生成这些令牌和键的模式，并针对已知公共存储库中的800万个开源工件运行它们。hth华体会最新官方网站

他们能够找到成千上万的活动令牌，并且明确地首先直接和秘密地联系维护者，以确保这些问题得到了修复，然后我们才一起发布它。这只是我们所看到的许多事情中的一个，让我们称之为软的事情，常规的[听不清00:14:31]方法或常规的运行时安全方法并没有真正覆盖它，它落在DevOps发挥主导作用的地方之间，落在DevOps构建可能允许这些事情自动化的基础设施之间。这是同一个概念的一个例子，你可以识别基础设施的错误配置[听不清00:14:53]，比如terraform，比如应用程序的错误配置，比如Flask和Django，或者Demons和服务的错误配置，比如Apache或NGINX。这些都是软的东西，不是cve或零日，这些都是错误地做的事情，不一定是由开发人员做的，而是其他人做的，在很多情况下，可以被坏人远程利用，这是一个例子。

请转到下一张幻灯片。另一方面，您可以看到如何利用供应，让我们暂时称其为供应链，软件的旅程从它成为二进制文件开始，以真正理解什么适用于您的软件。即使左Shift是一个关键的东西，你想要尽早解决问题，解决所有问题是不可行的，识别所有问题也是不可行的，源代码也不包括所有问题。更重要的是，在完成代码开发阶段并在之后的过程中编译它之后，新的威胁就会出现，因此您需要确保新的威胁会与软件的下一种形式(即二进制形式)进行检查。

我们在这个研究中所做的是，我们从DockerHub中提取了200个社区图像，最顶级的，强度最高的，我们通过[听不清00:16:20]将它们与前10个cve进行扫描，显然，CVSS最高，然后我们运行，然后，我们称之为适用性扫描仪。我们正在对二进制文件进行上下文分析，以检查每个CVE，如果它真的满足开发的前提条件。我举个例子。如果您有Log4j，并且确实使用了易受攻击的包，但是根据容器，您的第一部分不包含易受攻击的函数，而是另一个安全的函数，那么您确实有CVE，但不受其影响。

我们的观点是，让我们帮助开发人员确保他们是安全的，即使暂时是安全的，他们也不需要惊慌失措，去改变一切。通过这种方法，通过配置，通过代码分析，我们发现，在这200张图片中，78%的最高强度cve是不适用的，是不可利用的。我认为这是一个很好的信息，因为可以作为SLSA工作的一部分，以及如何更好地处理软件供应链安全的其他计划的一部分，是将开发人员置于聚光灯下，并通过利用二进制文件的形式分析上下文来帮助他们减少工作量。所以，这是两个可以做的事情的例子，它们确实与SLSA围绕构建和包的完整性检查的工作相对应，不仅是源代码，在某种程度上也包括可用性。

如果你能跳到下一张幻灯片，我当然欢迎大家访问我们的网站。我们正在做的一件事就是在m.si-fil.com上向社区免费发布我们的研究成果。不仅如此，到目前为止，我们在开源库上发表了超过120天的独特文章，包括Cassandra数据库，H2数据库，超过1,600个独特的恶意包和18,000个聚合恶意包，所有这些东西都对社区可用。我们也发布开源[听不清00:18:30]给最高级别的CVE，以检查用户的基础设施是否为CVE所接受。请使用这些信息，每个人都可以利用。有了这些，我们就可以继续了，洛莉。我希望我给出了一些好的见解，正如我所说，更多的信息可以在网站上找到。谢谢你！

Lori Lorusso：
谢谢你！我们可以结束幻灯片了。所以，我很感激能知道你来自哪里以及你是如何来到这里的。我认为朵拉和你刚才谈到的一件事，纳蒂，就是社区，确保社区跟上正在发生的一切，所有的东西都是开源的，我们回馈社会。朵拉告诉你事情的现状，研究团队强调朵拉报告所说的是百分之百的目标。埃里克，既然我们了解了你的一些情况以及你是如何创建JFrog的，你能告诉我们你是如何对技术和DevOps产生兴趣的吗?你是个作家，你写了很多东西，这很神奇，你做了很多研究。

埃里克·麦克斯韦：
谢谢。我想这是两个略有不同的故事。所以，我进入科技行业的原因是因为我的父母非常慷慨，他们在我六年级毕业时告诉我，当时我还很小，如果我的成绩都是A，我就可以得到任何我想要的礼物。我很努力学习，成绩全A，我还申请了一辆越野摩托车。到了买我的越野自行车的时候，他们给我买了一台电脑。所以，在我度过最初的震惊、敬畏和失望之后，我意识到，“好吧，这就是我的玩具，这就是我应该开始玩的东西。”这就是我进入科技行业的原因。我是怎么进入DevOps的?我职业生涯的大部分时间都在创业公司工作我在一家创业公司工作，我们有一个特定的产品和方向，按照典型的创业公司的方式，我们改变了方向，决定走一个不同的方向。

嗯，那个方向起飞了。我永远不会忘记，我在凌晨3点12分接到了数据库管理员的电话，我拿起电话，他只说:“我们的服务器正在融化。”所以，我们要做的是我们要弄清楚如何在Webscale stack中重写整个堆栈?我们如何改变我们所有的技术?我们如何采用云优先的方法?开发团队中有三个人，所以我们不仅要弄清楚如何重新设计所有东西，而且我们可以睡一会儿，保持理智的唯一方法就是学习如何开始自动化所有的东西，这就是我进入这个行业的原因。我甚至不知道有DevOps这个词，也不知道围绕它有什么运动，说实话，它只是在努力生存，所以我就是这样开始的。

Lori Lorusso：
DevOps是多么完美的定义啊，人们聚集在一起，试图自动化所有那些疯狂的过程，你必须在凌晨3:12进行扩展。这是疯狂的。我想任何人都不希望在一天中的任何时候收到这样的通知。约翰·斯毕德，你呢?给我们讲一点背景知识。

约翰·斯毕德·迈耶斯：
我有研究背景。我实际上在做各种各样的公共政策研究，主要是关于军事系统，比如，飞机，我意识到大多数这些系统实际上只是包裹在电脑外面的钢铁。当我得出这个结论时，我的研究越来越多地转向软件安全。在一份专注于开源软件安全的工作之后，我最近来到了Chainguard，这是一家软件供应链安全初创公司。因此，将我的研究和分析技能应用于软件供应链安全，这与DevOps紧密相关，因为正如我们所讨论的，现在许多安全流程都自动化到这台DevOps机器中。

Lori Lorusso：
这太棒了。所以，我认为这就引出了我们的第一个问题，那就是DevOps是以文化为中心的，Eric，你在回顾DORA的发现时提到了这一点，说有信任的团队员工倦怠程度低，他们在采用安全实践方面更成功。那么，在您看来，如何解释为什么高信任团队有更好的软件供应链安全实践?信任这个概念对开发者来说意味着什么?

埃里克·麦克斯韦：
当然。所以，我认为这个模型所做的以及自动化所有事情的想法，包括安全性，它确实有助于让集中式安全团队开始放松控制，通过将安全责任从事后扫描或从集中式团队转移到管道中，并通过自动化来完成。为了实现这一点，你必须要做的就是加强安全人员和开发人员之间的合作。实际上，你要做的是弄清楚如何从双方都增加信心?

因为安全，他们觉得他们必须牢牢控制事情的原因是因为他们通常对开发人员将发布的代码没有安全漏洞缺乏信心。通常情况下，开发人员对他们发布的软件会得到安全部门的批准缺乏信心。所以，当你把这些东西放到一个管道里，你就在强迫合作，所以这种合作实际上创造了更多的信任，因为你让人们交谈，你让他们交流，你让他们一起工作，这建立了信心，然后减少指责，结果，对生成文化有这些积极的影响。

Lori Lorusso：
我喜欢你的框架，因为你必须一起合作，然后确保你正在实施的自动化实际上是有意义的。约翰·斯毕德，你还有什么想补充的吗?

约翰·斯毕德·迈耶斯：
我认为多拉报告中反复出现的一个想法和主题是生成文化的想法，在这里，它被称为高信任团队。归根结底，你可以把它们看作是关于合作、分担风险、利用失败来改进、探索新鲜事物的实践或心态。这些并不是DevOps叙事中有时会强调的那种技术，但一个反复出现的发现是，这些东西实际上是许多软件性能的动力，有趣的是，包括今年的软件供应链安全实践报告。所以，对我来说，至少有一个合理的故事是，像探索新奇性这样的实践会让你首先实施新的软件供应链安全实践，以及像使用失败来改进的实践，这意味着当你实际遇到软件供应链安全事件时，你会花时间做回顾，然后实施这些实践。因此，有趣的是，这种文化方面确实是积极的软件供应链安全实践的重要根源。

Lori Lorusso：
纳蒂，你还有什么要补充的吗?

Nati Davidi：
是啊，也许我是在大声说话。我认为很多时候，当实体之间存在摩擦时，无论是隐藏的摩擦，还是像研发和产品之间的摩擦，很多时候是安全与开发之间的摩擦，让人们合作的原因是相信同一个第三方实体。在这方面，我认为DevOps是开发人员和安全之间的第三方，DevOps和数据以及唯一的证明来源，如果它存在的话，它现在可以查看并提取见解，了解哪里出了问题，以及数据和证明点的可靠性。

我认为我们试图强调的一件事是，我们从客户那里学到的是，很多时候，当你向开发人员提供为什么必须修复某些东西的科学证据，让她或他自己做，并决定如何修复它，但至少他们得到了指导和替代缓解措施。另一方面，能够告诉安全角色为什么事情不一定需要通过这些技术证据来解决，这些技术证据是不容置疑的，它们是科学的，它在我们的伪代码中向你展示了正在发生的事情。我认为这是一个很好的合作起点。显然，如果你能给它增加一个良好的用户体验，至少在建立这些流程的初始阶段，还能有强大的人物角色来进行讨论，这是一个惊人的起点。

Lori Lorusso：
我认为这与Eric已经提到的一句话是一致的，他说:“要做出有意义的改进，团队必须采用持续改进的理念。”所以，你们刚才提到的很多事情都是关于组织内部的文化、风格和信任。埃里克，你想再详细说说这个问题吗?

埃里克·麦克斯韦：
当然。我从与世界各地的客户和公司的合作中看到，他们真的开始明白，这是不可选择的，这是一个必要的过渡，必要的行为。多年来的DORA研究表明，文化是组织成功的主要驱动力，今年我们也看到，文化是安全成功的主要驱动力，也是安全实践成功采用的主要驱动力。所以，我认为真正的问题是，这也是我一直遇到的问题，我们如何改善文化?有一些非常有趣的研究，通用汽车和丰田公司有一个合资企业。它的首字母缩写是NUMMI无论如何，我都不记得它代表什么了，但如果你查一下，NUMMI，通用，丰田，你可以读一下研究。他们在这个联合项目中试图做的是真正理解如何改变文化?

所以，最大的问题是你如何影响文化，你如何真正做出改变?他们发现，要改变文化，你不能从改变人们的思维方式开始，而是要改变他们的行为方式。所以，当你改变人们日常工作的方式时，这就是你积极影响和积极改变文化的方式。所以，当我们从DevOps的上下文中考虑这个问题时，我们总是在谈论一个持续的旅程。我一开始就说过，我们的研究表明那些采取持续改进方法的公司是最成功的。

所以，如果你考虑这种持续的改进，如果你把它放在增量工作的背景下考虑，我们正在做的是我们正在改变人们的工作方式，我们正在改变他们每天所做的事情。我们提到过，为了获得成功的安全自动化和管道，您必须让开发人员和安全人员并排坐在一起，共同制定安全策略。因此，这正在改变人们的工作方式，因此，这对文化有直接的影响。

Lori Lorusso：
所以，我认为这直接引出了我的下一个关于安全的问题。它是关于授权个人团队和开发人员拥有安全性，还是您的CISO和安全团队应该拥有安全性?这两支队伍在哪里相遇，他们有重叠吗?当你所说的一切都是关于成为一个社区，但你们都有不同的角色和义务时，他们应该如何合作?纳蒂，我想把这个交给你。

Nati Davidi：
所以，我认为这一切都是关于所有权，所有权创造了合作而不是紧张。作为思想领袖，我们需要帮助提供工具和基础设施来简化所有权。当然，一部分是技术，一部分是数据和证明点，但这很棘手。这很棘手，因为这不仅是关于打破竖井并在组织的任何部分创建个人所有权，而且因为这些竖井不仅存在于开发人员、DevOps和安全性之间，而且还存在于安全性内部。

当你说到供应链安全时，它有很多方面。它有左移方面，[听不清00:32:07]方面，DevSecOps，运行时安全性，典型的It安全性，然后在安全性中有不同的所有权。实际上，组织越大，执行或决定一种可行的方法就越复杂，我认为它应该自下而上地建立。顺便说一下，我们在内部通过在一个部门中使用一个用例，然后将其扩展到整个组织来实现。但是，从技术上提供自下而上决策的能力，我认为这是正确的起点。

Lori Lorusso：
约翰，你还有什么想补充的吗?
John Speed Meyers:
很高兴。我要提的是多拉报告中提到的生成文化的一个有趣的方面，实际上是一种共享所有权的意识，这似乎是这种文化的一个元素，实际上导致了积极的安全结果。我要指出的是，这违背了很多组织管理的基本理论，如果你在分享，一些责任感实际上是会发生的，没有人会去照顾它因为没有一个特定的人或团体的责任，所以我只说这一点。我不认为我今天能解决这个问题，但这是一个有趣的发现。

Lori Lorusso：
埃里克，你有什么想补充的吗?

埃里克·麦克斯韦：
每当提到这个话题时，我总是暗自发笑，因为在很长一段时间里，我们已经在十多年的会议上讨论了打破竖井以及我们需要如何打破开发人员和运维之间的竖井，但在早期的对话中，我们从未真正将安全性包括在内。我们把安全放在一个竖井里，在很多方面，这样做的结果是阻碍了创新。所以，我认为在当今世界，当我们可以用代码来表达我们的安全性，用代码来表达我们的遵从性时，它允许更大的协作的原因是因为我们现在有了一种我们都可以迭代的通用语言。

所以，也许不是一些操作人员写脚本，一些合规人员使用电子表格或pdf或其他什么，我们现在都可以分担责任，真正只是分享合作，分享对安全策略究竟是什么的理解，因为它现在是在一个共同的语言中，每个人都可以阅读。所以，我认为这真的很棒，我确实认为通用语言框架也是建立信心的另一个重要驱动力。

Lori Lorusso：
所以，我们说的是每个人都要带上保安。JFrog，我们的口号曾经是“要么快速发布，要么死亡”，所以这一切都是关于速度，持续交付，更新，完成，快速完成，而不是拖延。但是，当我们看DORA报告时，超过一半的受访者同意安全流程减缓了开发，那么我们如何改进呢?我们可以在组织中使用什么工具，什么过程，不仅仅是小的，而是我们如何在不影响发布周期和生产的情况下扩大规模来添加这一层安全?我可以让任何想回答的人来回答。我要和埃里克一起去，因为我的狗在叫。

埃里克·麦克斯韦：
所以，从DORA的角度来看，当我们看待这些东西时，我们不仅采取学术严谨的方法，其中一部分是保持工具和平台不可知论。所以，从DORA的角度来看，我们永远不会推荐“嘿，工具X或工具Y应该是解决工作的工具”，所以我们仍然是不可知论者。但是如果我们把它放在一个更高的层次上，我真的认为，再次强调，不是听起来像一个破记录，但是能够将遵从性和安全性表达为代码的想法，我认为，是使这种能力快速发展的一个真正重要的驱动力。

但是就像我们从研究中知道的，从文化的角度来看，很多时候，这与重量级的变更管理控制，重量级的发布控制和部署的东西有更多的关系。因此，无论我们使用什么工具，如果我们创建了一些自动化的东西，可以捕捉问题，可以尽可能接近开发人员工作站解决问题，这样我们就可以将这些问题隔离给最少的开发人员，这意味着我们可以更快地改变和修复这些问题，这只是增加了这种信任和自信的文化。

Lori Lorusso：
纳蒂，你还有什么要补充的吗?

Nati Davidi：
我可以想到尽量减少安全开销的三个关键支柱，但现实一点，这是不可避免的。安全性总是会从本质上影响软件的交付时间，现在的问题是我们可以减少多少安全性，以及在安全性和快速发布之间如何进行正确的权衡。我认为这三个支柱与SLSA框架和NIST软件供应链安全方法非常一致。首先是设置先发制人的措施，以确保潜在的威胁不会进入，无论是外部包中的已知威胁还是您在自己的第一方代码中创建的威胁，因此这是预防部分。

第二个内部部分是关于持续不断地检查您的软件资产，因为威胁不断出现，新的威胁是未知的，软件的状态正在发生变化，因此您需要一次又一次地创建检查软件的节奏，而不管具体事件如何。然后，您可以先发制人地使用正确的自动化和基础设施来快速响应Log4js和最近的销售或Apache Commons Text。

这不是为了应对已经存在的攻击，而是为了应对即将到来的直接威胁。这绝对是DevOps、DevSecOps的一部分，我认为基于可靠的数据，以自动化的方式处理所有这三个方面，将是大幅减少安全开销的最佳方式。

请允许，我在这里看到马特·菲茨提出的一个问题，是关于确保开发的成本和实际开发的影响之间的权衡。当然，这很难回答，因为这取决于它是否是一个损害整个行业或多个行业的集体利用，就像最近发生在SolarWinds或Log4js上的事件一样，这是一个非常精心挑选的针对特定公司的攻击，这总是很难计算。但我认为一般的答案是，在短期内，建立一个真正的供应链安全入口的成本是非常高的，但从长期来看，它必然，本质上，将节省可能针对整个组织的exploit总量的成本。

Lori Lorusso：
没人想成为下一个太阳风。当我们谈到利用和成本时，我认为没有人想成为下一个太阳风。所以，我认为这很好地引出了，我们之前讨论过这个，SLSA，所以这个调查利用了SLSA和Nati，你指出了它，你展示了JFrog是如何在SLSA框架内工作的，但是John Speed，与SLSA相关的实践有多广泛地采用，或者没有，然后这可能会加速我们的最后一个问题，安全时间?如果人们遵循这个路线图，这是否有助于加快整个过程的前进?

约翰·斯毕德·迈耶斯：
这是个好问题，洛莉。关于DORA调查的有趣之处在于，它至少部分地回答了SLSA今年的调查，有超过1000名软件专业人员作为大样本。SLSA是什么，它是供应链层面或软件工件，它是一个软件供应链完整性框架，它不是软件供应链安全的全部，但它是重要的一部分。有很多安全控制，你可以把它们看作是与SLSA相关的防御措施，这个调查询问了其中的一些。这是最基本的好消息，对于大多数实践来说，每个实践中的大多数开发人员都表示，该实践要么已经建立，要么已经适度建立。因此，我有时会听到软件的抱怨，“供应链安全，现在增加的负担太大了”，但DORA报告的发现表明，实际上，许多开发人员已经在这样做了。

但需要注意的是，这些问题是关于这些开发人员正在开发的主要应用程序或服务的，因此您可以认为这是这些软件开发人员的最佳行为，这是有道理的，因此可能有许多其他二级甚至三级应用程序开发人员可能没有得到同样的关注。这是它与可靠性的关系。调查中一个有趣的发现是，拥有更好的软件供应链安全实践的团队具有更低的倦怠。你可能会说，“这是怎么发生的?我以为他们工作得更多，所以会更倦怠?”至少一个潜在的联系是，它减少了计划外工作的数量，也就是软件专业人士所说的“消防演习”。当你有漏洞需要补救时，它会产生很多你原本不打算做的工作，它会打乱你的计划，它会打乱你的软件性能。因此，根据调查，良好的安全实践，包括软件供应链安全实践，实际上减少了计划外工作，并导致更低的倦怠，所以这至少是一个积极的好处。

Lori Lorusso：
我认为较低的倦怠是一个非常大的积极的好处。在处理了一场流行病之后，我认为每个人都有点精疲力竭了。所以，你说的和报告说的是，如果你至少遵循这个框架，那将使你处于比不遵循更好的状态。内蒂，你有什么要加到SLSA上的吗，任何你觉得能让它更上一层楼的东西?

Nati Davidi：
首先，我认为它没有涵盖整个软件供应链挑战的事实是一件非常好的事情，因为无论如何，你不能一下子就解决所有问题，这是一笔大交易，正如John Speed所说，而且，这是应该逐步采取的措施。但即使迈出了第一步，看看DORA的A到H级别，听数字和调查，很高兴听到领导着著名产品的团队做得更好，我认为甚至确定你在A到H级别方面的位置仍然是一个巨大的挑战?hth华体会最新官方网站同样，我认为最高级别的组织做得更好，但同样，组织越大，就越困难，因为我们有大型企业集团，他们收购的公司有不同的安全方法，有不同的DevOps基础设施，使用不同的语言，使用不同的东西，不同的CI/ cd，很难控制所有这些。

我认为几乎不可能用这些级别来映射它们的当前状态。我认为即使退一步，从更狭窄的方法开始，也许采取两步，并帮助社区在他们的组织中开始做这些事情，不仅是自下而上的一两个小组，而且还尝试着开始自上而下地讨论他们，这对参与和开始建立这种信任和支持是非常有帮助的。因为有一件事是可能发生的，对于那些不够好的人来说，就是他们看到了这些他们现在需要实施的事情的地图，并明白这是如此沉重的负担，他们开始说，“哦，朵拉不是正确的选择。”顺便说一下，DORA是正确的东西，它是围绕软件供应链安全的各个层共同编写的最好的东西，所以我们需要保护它。我们需要确保它不是令人生畏的，并且它是切实可行的。

Lori Lorusso：
太好了。我觉得消除恐惧是件好事。还有很多社区资源，比如OpenSSL，他们试图为公司提供指导方针和最佳实践2022世界杯阿根廷预选赛赛程，这样他们就可以扩展，他们可以使用SLSA框架，使用工具和方法，以及来自前人的最佳实践，这些可能没有那么好的成功率，但我认为这就是技术的本质。你可不想成为下一个太阳风公司或被太阳风公司影响的公司，因为那太可怕了，不仅会让你负债累累，还会让你破产。所以，很高兴看到采用率很高，它正在成为一个更容易的提升，他们还没有完成，但这是一个很好的开始框架。我们提到过CI/CD很多次，John Speed，我把这个交给你。那么，为什么CI/CD和更成熟的软件供应链安全实践之间存在联系呢?这两者是如何交织在一起的?

约翰·斯毕德·迈耶斯：
这是今年DORA报告的另一个发现，我相信在过去几年也是如此。我很清楚，调查本身并没有直接回答这个问题，但我认为有一些可能的原因，我也特别好奇从埃里克那里听到这个问题，以他的经验。但我认为，对团队和产品使用集中式CI的好处之一是，它将检查放在一个集中的地方，团队中的每个人及其所有代码都遵循相同的标准。因此，否则，它就变成了个人开发人员甚至个人安全团队在每个人都不知道的情况下，依靠他们自己的努力来实现一些东西，这可能很难。因此，CI迫使中心化，它迫使每个人都遵循的标准路径，所以我认为这是一个很好的理论，但我相信也有一些其他技术和社会原因。

Nati Davidi：
去做吧。

Lori Lorusso:
不，你说吧。

Nati Davidi：
再一次，回到二进制的故事，当从谁在不同的安全方面承担责任的角度来看它时，再次以非常著名的Log4j为例，您有安全团队说，“这必须修复，您需要识别整个组织中的所有资产，您需要在开发环境中升级它们，在生产中等等。”然后，开发人员只看到他们每个人负责的特定部分，所以他们看到的方式非常有限。在此期间，DevOps领导被要求修复它，被要求全面识别它，被要求升级它，还被要求在下一次Log4j进来时能够在更短的时间内完成。

因此，突然之间，DevOps正在成为组织安全的枢纽，特别是如果供应链攻击正在成为十年的攻击载体，那么DevOps正在成为十年的安全的责任。CI/CD显然是DevOps的主要部分，当然，这创建了一个不可分割的链接。另一件事是，通过DevOps从开发人员那里获得的软件形式，在很多时候，都是二进制文件和大图像，其中包含除源代码之外的许多内容，因此，需要有人负责这一部分，因此采用CI/CD并利用它来更好地识别安全问题，以正确的方式处理供应链安全。

Lori Lorusso：
Eric，你有什么要补充的吗?从过去的报告来看，你可能认为这是一种转变，或者一直都是这样，安全性和CI/CD是携手并进的，无论以前是否流行，但现在肯定是这样?

埃里克·麦克斯韦：
当我想到CI时，我认为它基本上是我们正在谈论的所有事情的支柱，所以除非你有非常强大的CI，否则你不可能真正拥有一个可靠的DevOps环境。因此，我将逐一介绍，基于主干的开发由CI支持，没有CI就无法实现，自动化测试，没有CI就无法实现。CI导致CD，我们知道CD导致组织输出绩效。我们也知道高可靠性的公司有1.4倍的可能性有CI，所以可靠性，我们知道它影响安全。

所以，DevOps, DevSecOps，不管你怎么称呼它，都没有一部分是不利用CI的，所以这就是为什么我认为它是骨干。当我指导公司和他们一起工作时，我总是说，“让我们先把你的构建定下来。让我们以一种可以成功构建单个组件的方式构建你的构建，你可以回滚构建的单个部分，而不必重做整个构建。让我们从那里开始，然后开始测试。”所以，这对我来说并不奇怪。

Lori Lorusso：
我想移动一点，哈哈，移动。我是个笨蛋，这是常有的事。所以，当我们谈论过去时，安全是如此巨大，并不是说它现在不巨大和可怕，但它完全就像，“你做你的，我们做我们的事情，无论如何。”现在，DORA报告和DevOps文化都在说:“不，不是这样的。我们都在一起。”您是否看到传统公司能够更自由地采用这种类型的DevOps环境?你看到路上的路障了吗?公司如何让一个传统的，传统的，现有的公司能够适应这种新环境，在这种新环境中，它不仅仅是扩大安全，它可能不得不改变他们的企业文化，以一种方式导致低倦怠，高信任，这可能是以前的情况?我要把它打开。

埃里克·麦克斯韦：
我先跳。因此，我认为，根据我们所做的研究，我们已经年复一年地表明，软件交付，以及现在的软件交付和运营可靠性，是组织成功的主要预测因素。我认为这颠覆了很多公司的说法，“哦，IT是一种成本[听不清00:52:52]，它是一种必要的恶，”变成了“嘿，这实际上是我们应该投资的东西，我们应该在内部投资”，因为结果是，如果你能在达到或超过你的业务目标方面有2.5倍的乘数，比如净推广得分，客户获取，收入目标，这是一个非常有吸引力的故事。当你试图说服决策者时，他们通常会从数字的角度思考，所以我通常会以这样的对话开始，说:“嘿，如果我们开始做这些实践，你不仅会有更快乐的员工，更少的倦怠，更少的安全漏洞，哦，顺便说一下，你会赚更多的钱。”他们会说:“这听起来是个不错的交易，也许我会这么做。”

Nati Davidi：
也许我要补充一点，一些来自更专业的角度。直到五、七年前，当我们与汽车、航空或关键控制器等特定行业进行讨论时，我们讨论的主要是重型预制解决方案、封闭的[听不清00:54:07]、断开连接等等。突然之间，你看到了这种技术转变，你有一个路由器控制着关键的基础设施，在上面运行容器，使用高级语言，与任何东西通信，使用非常现代的UI，允许通过互联网连接。我认为这是客户的一种需求，他们已经习惯了更加开放，更加交流，即使是在最敏感的行业，让我们这样称呼它。

这在某种程度上迫使即使是最大、最慢的公司，欧洲和美国130年的传统公司，也要以不同的方式研究事物。其中一个证据是，今天大多数公司都有自己的首席数字官，负责向更现代的基础设施和连接过渡，并讨论Web3和其他事情。我们试图与这些领导人交谈，以确保我们所提供的对他们真正有帮助，因为这些是10年的周期。将一个拥有35家子公司的大公司转移到一个现代化的基础设施，转移到一个控制良好、具有监控和可见性的CI/CD，这是一个过程。你需要一个合作伙伴，你仍然需要支持on-prem，你仍然需要多云，因为他们中的大多数人不想成为一个商店。所以，所有这些都是非常大的挑战，再说一次，我认为与这些领导者和DORA的一部分努力以及SLSA和OpenSSL正是这些参与者联合起来试图共同塑造它的地方，需要大量的社区工作。

Lori Lorusso：
约翰·斯毕德，你还有什么想补充的吗?

约翰·斯毕德·迈耶斯：
不。非常感谢，洛莉，但我会等轮到我的。

埃里克·麦克斯韦：
关于这个话题，我能再补充一点吗?关于努力的程度，值得吗?所以，我们在之前的研究中看到，关于技术能力，有一个J曲线，所以我们也从可靠性的背景来看这个J曲线，也有一个J曲线。我们还没有专门研究它与供应链安全的关系，但它是一种技术实践，我猜它也会像其他东西一样有J曲线。所以，这意味着当你第一次开始做某件事的时候，你实际上可能会看到快速发布软件的能力下降，精疲力竭，团队友爱和稳定性等等，但你会到达一个拐点。

一旦你达到了那个拐点，它几乎是直线上升的，那时你才真正开始意识到你从这些东西中得到的改善。所以，我的鼓励是，首先，你必须开始做事情，卷起袖子去做，要知道这是一段旅程，就像任何旅程一样，有时会有颠簸，所以要做好心理准备。但重点是，我们从8年的研究中发现，如果你能克服这些障碍，如果你坚持不懈地工作，你很可能会成功。

Lori Lorusso：
我认为这很棒。我认为事实是，有研究支持时间的长度，人们面临的障碍，但随后的积极结果，一般来说，我认为这是人们需要看到的。我认为这个小组非常棒，因为我们都有DevOps安全专家，但重点是研究、事实证明、案例研究本身，这些都是行业在说的事情，因为这些是公司为了让事情变得更好而做的事情。为了让事情变得更好，纳蒂，JFrog正在做什么来帮助解决供应链安全问题?

Nati Davidi：
所以，首先，我们在内部用我们自己的狗脚做事情，用我们正在开发的所有解决方案，试着首先相信自己，相信我们正在构建的东西，然后再给我们的客户建议。服务超过7000个客户，管理最关键的资产，任务关键的软件部件，给我们带来了大量的安全义务，我们有一个专门的非常大的团队，不仅是安全产品线的一部分，而且是专门的，所以首席安全办公室，一个专门的团队来分析软件并遵守最高标准，比如[听不清00:58:38]和其他，以确保我们自己不容易受到攻击。

很明显，我们正在做的所有这些[听不清00:58:43]都与SLSA项目中展示的非常一致。然后我们向客户提供同样的服务，这取决于客户的现代化程度，或者实施软件供应链安全的过程有多初始。我们选择从哪里开始，但正如埃里克所说，我们总是鼓励开始，首先从某件事开始。他们可以回顾你的产品，或者只执行一件产品，但通过这种方式，你开始创造概念，并与客户建立联系，无论大小。

Lori Lorusso：
我们快没时间了。我要感谢Eric John Speed和Nati今天的加入，这是一个非常有意义的座谈。如果你还没有机会下载和阅读DORA报告，我建议你去下载和阅读，这样你就可以实时看到我们谈论的内容。你可以看到统计数据，你可以看到图表，你可以看到如何实施这些小的改变，这些增量的改变，可以以最积极的方式对你的公司产生巨大的结果。再次感谢我们的小组成员。我很高兴JFrog赞助了DORA报告，因为我们将从现在开始引用它。Eric把DORA报告的链接放到了聊天里，你们可以自己去拿一份。我再次强烈推荐。有人想总结一下吗?我只是想再次说声谢谢。

约翰·斯毕德·迈耶斯：
不用了，非常感谢你招待我们，真的很棒。我们很感激。

埃里克·麦克斯韦：
非常感谢。我玩得很开心。此外，只是为了澄清，dora.community是到我们公开可用的社区站点的链接。我们有一个非常活跃的内部消息小组，我们还每周举行精益咖啡视频会议，在那里我们谈论DevOps的一切。今天，我们要讨论的是平台工程，一个超级热门的话题。无论如何，非常感谢大家。我真的很感激。

Nati Davidi：
非常感谢。谢谢你，洛莉，你的包容，还有约翰·斯毕德和埃里克，非常高兴并期待着继续与这些倡议一起工作。非常感谢。

Lori Lorusso：
感谢大家的到来。各位，祝你们今天愉快，我们下次再见。

埃里克·麦克斯韦：
再见。非常感谢。

Nati Davidi：
谢谢你！