應對當今軟件供應鏈安全挑戰，以DevOps為中心的安全至關(guān)重要

開(kāi)發(fā)人員及其開(kāi)發(fā)的軟件是當今黑客和惡意攻擊者最常用的攻擊媒介。許多開(kāi)發(fā)工具和流程（更不用說(shuō)數以千計的開(kāi)源庫和二進(jìn)制文件）對于整體軟件供應鏈都可能意味著(zhù)惡意乃至意外的風(fēng)險。為應對與日俱增的威脅，開(kāi)發(fā)人員、安全負責人和運營(yíng)團隊都致力于尋找一種能夠更有效地保護自身軟件生態(tài)系統的方法。

中國信息通信研究院發(fā)布的《中國DevOps現狀調查報告（2022）》顯示：已有63.51%的企業(yè)引入了DevSecOps實(shí)踐，同比增加19.81%。這表明DevSecOps在企業(yè)中的影響力繼續擴大。國內機構開(kāi)始越來(lái)越多地采用DevSecOps，專(zhuān)注于“左移”安全，即在軟件開(kāi)發(fā)生命周期的早期引入安全實(shí)踐的想法。但實(shí)際上，DevSecOps更像是一種整體戰略或方法，而非分配給特定群組或個(gè)人的一組具體職責。

DevSecOps 最適用于定義組織如何解決產(chǎn)品安全問(wèn)題，或在集成開(kāi)發(fā)環(huán)境中建立文化和技術(shù)左移。它還可以提供一個(gè)能夠滿(mǎn)足合規、安全和開(kāi)發(fā)團隊之間開(kāi)展安全相關(guān)工作所需的機構框架。這里分享JFrog的金融行業(yè)客戶(hù)案例。該客戶(hù)遇到Log4j中的一個(gè)嚴重漏洞，名為"Log4Shell"或"CVE-2021-44228"，允許攻擊者通過(guò)精心構造的日志記錄語(yǔ)句中的特殊字符，執行任意遠程代碼。該漏洞影響范圍廣泛，受到了全球范圍內的關(guān)注。針對這種情況，JFrog產(chǎn)品為用戶(hù)提供了以下協(xié)助：

1.     發(fā)布安全通知和建議：JFrog迅速發(fā)布關(guān)于Log4j漏洞的安全通知，并向客戶(hù)提供詳細的修復建議。幫助客戶(hù)及時(shí)了解漏洞，并采取適當的措施來(lái)保護其系統和應用程序。

2.     幫助客戶(hù)精準定位漏洞的影響范圍：JFrog Xray漏洞掃描工具能夠在第一時(shí)間定位所有被該漏洞影響的版本，并實(shí)現受影響版本的阻斷下載。避免不必要的加班，未受影響的團隊可不做處理。

3.     制定自動(dòng)化的漏洞包處理策略，如果有用戶(hù)再次下載該漏洞包，則會(huì )提示并阻止下載。

然而，現實(shí)情況是，雖然安全和開(kāi)發(fā)團隊都致力于加強業(yè)務(wù)，但兩個(gè)團隊之間的協(xié)作可能具有挑戰性。公司安全團隊的任務(wù)是盡一切努力保護業(yè)務(wù)，而開(kāi)發(fā)人員更愿意編寫(xiě)高質(zhì)量的代碼，而非花時(shí)間修復漏洞。保護軟件供應鏈所需的特定職責、任務(wù)和預算實(shí)際上就落在了DevOps團隊身上。

定義以 DevOps 為中心的安全

顧名思義，DevOps團隊管理軟件開(kāi)發(fā)的運營(yíng)方面，并負責軟件開(kāi)發(fā)生命周期（SDLC） 的每個(gè)步驟。 當安全團隊制定策略，開(kāi)發(fā)團隊編寫(xiě)代碼時(shí)，DevOps團隊負責管理 SDLC工作流。他們是軟件供應鏈的實(shí)際負責方。

在軟件供應鏈安全方面，DevOps團隊也順理成章地成為了負責方。DevOps團隊擁有相應的資源、技能和責任，能夠識別和解決整體DevOps工作流中的安全問(wèn)題——從開(kāi)發(fā)到運行時(shí)再到部署。安全團隊負責合規和業(yè)務(wù)需求，開(kāi)發(fā)團隊會(huì )遇到大量安全請求、流程和法規處理問(wèn)題，而這些并非其核心競爭力。DevOps團隊參與軟件開(kāi)發(fā)流程的每一步，所以非常適合充當安全團隊與開(kāi)發(fā)團隊之間的橋梁。

以DevOps為中心的安全能夠提供機構軟件供應鏈的端到端視圖，并標記大量漏洞和薄弱環(huán)節，例如CVE、配置問(wèn)題、機密泄露和基礎設施即代碼違規。 它還建議在軟件開(kāi)發(fā)生命周期的每個(gè)階段（從代碼到容器，再到設備）采取補救策略。 

以 DevOps 為中心的安全如何運作？

以DevOps為中心的安全方法建立在嚴格的流程和持續的自動(dòng)化測試之上，這是所有 DevOps團隊的標志。更重要的是，它指導著(zhù)國內的機構清楚地了解每處漏洞，并提出能夠有效解決問(wèn)題的行動(dòng)建議。

具體如下：  

關(guān)注二進(jìn)制文件和源代碼

現代軟件供應鏈只有一項交付到生產(chǎn)中的核心資產(chǎn)：軟件二進(jìn)制文件，它有多種形式——從數據包到容器，再到歸檔文件。攻擊者日益聚焦于攻擊二進(jìn)制文件，因其包含的信息比單獨的源代碼更多。 通過(guò)分析二進(jìn)制文件和源代碼，DevOps團隊就能更全面地了解任何影響或發(fā)生漏洞利用之處。這有助于消除復雜性并簡(jiǎn)化安全檢測、評估和補救工作。

上下文情境分析：確定哪些漏洞、薄弱環(huán)節和風(fēng)險需要補救，以及最具成本效益的補救方法

嚴重漏洞的數量和被識別出的頻次都在增加。 然而，這些CVE可能會(huì )被利用，也可能不會(huì )被利用，具體取決于應用程序的配置、身份驗證機制的使用、以及密鑰的暴露等因素。 以DevOps為中心的安全著(zhù)眼于軟件運行的上下文情境，以確定優(yōu)先級并建議如何快速有效地修復漏洞，而不會(huì )將開(kāi)發(fā)人員的時(shí)間浪費在不適用的問(wèn)題上。掃描并分析容器中開(kāi)源漏洞的能力尤為重要，因為如今使用容器來(lái)隱藏惡意代碼的行為呈上升趨勢。

提供軟件供應鏈的整體視圖

通過(guò)參與軟件開(kāi)發(fā)流程中的每一步，DevOps團隊可以全面了解公司的軟件供應鏈及其所有薄弱環(huán)節。以DevOps為中心的安全能夠分析二進(jìn)制文件、基礎設施、集成、版本發(fā)布和傳播流動(dòng)，所有這些都在一處進(jìn)行，消除了信息不同或有限的不同安全系統以及不一致的報告導致的混淆。因此，當在使用DevOps流程來(lái)實(shí)施安全時(shí)，不僅可以?huà)呙枰宰R別軟件中的問(wèn)題，還可以幫助開(kāi)發(fā)人員確定問(wèn)題的優(yōu)先級并快速輕松地對其進(jìn)行修復。 

總之，國內機構正面臨著(zhù)軟件供應鏈安全威脅的新時(shí)代。JFrog認為，快速、大規模地智能交付安全軟件的最佳方式是為各機構的軟件供應鏈部署以DevOps為中心的安全體系。