确保软件供应链安全,不容忽略的三大步骤

发布时间:2023-11-20  

作者:JFrog大中华区总经理董任远

业务成功的关键驱动力在于企业开发和交付软件的速度。团队任务是不断寻找尽可能高效的工作新方法,通常会借助开源库和组件来加快交付速度。事实上,有研究表明市场上多达 97% 的应用程序都使用开源软件。

虽然开源仓库有助于节省时间,但也成为了网络罪犯的主要目标。因为只需破坏开源库中的一个软件包,这些恶意攻击者就能获得多家企业的后门访问权限,给全球数百万开发者的工作带来安全隐患。

在“生产竞赛”中,速度绝不能以牺牲安全为代价。以下三大实用步骤能够最大限度地降低软件供应链中的风险:

1. 确保正在使用的开源库得到正确扫描

2022 年,全球 1700 家企业遭受到软件供应链攻击,超 1000 万人受到影响,其中几乎所有攻击都包含一些错误或恶意的开源代码。正如下文中的数字所示一般。

相关行业研究显示,仅仅在 1 月份,NPM 就新增了 95,000 个软件包。除此之外,75 万个新版本的现有软件包也被更新到库中。虽然这些库毫无疑问希望确保代码合法,但开源的本质意味着几乎不可能进行验证。因此,企业有责任确保这些软件包可以安全地添加到其开发供应链中。业界曾用维基百科来比喻开源关系:虽然维基百科是很棒的免费资源,但使用它的个人有责任核实信息的准确性。

企业可以用可扩展的方式实现这种程度的审查,通过连接到开源仓库并扫描与软件包或更新版本相关的元数据,以了解其上下文,如它们是否与恶意攻击或漏洞相关联,或它们是何时创建的。通过回答此类问题,开发者可以在自己的生态系统中将代码推进到下一阶段的开发,并增强对代码安全性的信心。

2. 开发一种超越左移的方法

左移模式对企业来说非常有帮助,因为可以尽可能地在入口点附近对开源组件进行检查。相较于软件开发的早期“狂野西部”时代(只有在最后阶段才会对代码进行检查,一旦发现问题就不得不再次从头开始),这一方法颇受欢迎。

随着软件开发不断成熟,最重视软件安全的企业将寻求一种超越左移的方法。

为此,可以在将组件引入集成开发环境之前检查组件是否存在漏洞。具体而言,可以通过创建一个气隙环境,根据企业特定需求定制的策略来检查输入的开源代码,并在进入环境前便可过滤掉不符合标准的代码。

3. 将安全措施集中于单一平台

上述两种方法将有助于以更具成本效益的方式管理软件供应链中的潜在安全问题。 此外,使用专门针对这些领域的解决方案,能够帮助把握可能在软件开发周期后期出现的安全问题。

众所周知,开源数据库的流动性非常高,并且一直处于不断变化之中。即使一个软件包通过扫描和左移前的安全措施,仍无法百分之百保证其安全性。我们可以采用能够理解此生命周期每个阶段的解决方案,一旦发现恶意内容,企业可以在整个开发过程中的任何时间点采取适当的补救措施。

以安全为重的软件供应链平台可通过上述最佳实践,帮助实现整个软件构建与发布流程的自动化并确保其安全,从而助力开发者加快软件交付速度,同时强化企业的安全态势。

优先考虑软件供应链安全

大多数软件开发所依赖的开源生态系统将持续存在。这些库的便利性和速度无与伦比,是现代开发团队的必备资源。然而,由于一些环境的性质,使用它们的个人和企业有责任确保其安全可靠。

采用上述三大步骤,能够持续推动开发工作流的创新和效率,并在企业中应用顶级安全实践操作。

关于JFrog

JFrog  Ltd.(纳斯达克股票代码:FROG)的使命是创造一个从开发人员到设备之间畅通无阻的软件交付世界。秉承“流式软件”的理念,JFrog软件供应链平台是统一的记录系统,帮助企业快速安全地构建、管理和分发软件,确保软件可用、可追溯和防篡改。集成的安全功能还有助于发现和抵御威胁和漏洞并加以补救。JFrog  的混合、通用、多云平台可以作为跨多个主流云服务提供商的自托管和SaaS服务。全球数百万用户和7000多名客户,包括大多数财富100强企业,依靠JFrog解决方案安全地开展数字化转型。一用便知!如欲了解更多信息,请访问jfrogchina.com或者关注我们的微信官方账号:JFrog捷蛙。


文章来源于:电子创新网    原文链接
本站所有转载文章系出于传递更多信息之目的,且明确注明来源,不希望被转载的媒体或个人可与我们联系,我们将立即进行删除处理。

相关文章

    这一规模市场,Neo Tang强调,“我们卖的不是芯片,而是供应链管理的全球服务”。 他解释,“我们......
    电机的四种调速方式 2800转电机怎么改成1400转;  电机的四种调速方式   电机的四种常见的调速方式如下:   变频调速:通过改变交流电源电压的频率来改变电机的转速。这种方法......
    从多年战略规划到精确到秒的执行和最后一英里交付的方方面面。如需获取更多资讯和信息,请访问 kinaxis.com 或在 LinkedIn上关注我们。关于ElixumElixum开创了运营和供应链管理的新时代。借助Supply......
    从多年战略规划到精确到秒的执行和最后一英里交付的方方面面。如需获取更多资讯和信息,请访问 kinaxis.com 或在 LinkedIn上关注我们。 关于Elixum Elixum开创了运营和供应链管理的新时代。借助......
    微格科技——全能产品管家,供应链管理大师;随着全球市场的竞争日益激烈,供应链管理已成为企业成功的关键。微格科技作为一家现代化定制型工厂,以其卓越的供应链管理能力,为客户提供了全面而可靠的支持,旨在......
    当元器件供应链遇上AI,会擦出怎样的火花?;在电子元器件供应链领域,AI技术的应用正在革新行业未来。越来越多的企业正在采用AI和深度学习技术,实现供应链管理的重要进展和崭新成效。本文......
    :「半导体供应链,或所有半导体有关的供应链涵盖范围广及全球各地。作为SEMI 供应链管理倡议产业咨询委员会的一份子,我们有能力共同减少供应链可能产生的长鞭效应,用更加永续的方法......
    领域的应用趋势和实践 近年来,随着人工智能技术的快速发展,其在供应链领域的应用日益广泛且深入,正在重塑行业运作模式,提升效率、降低成本并增强决策精准度。万程认为,AI 技术正在引发供应链管理的深度变革。未来供应链......
    网可以远程监控车队的状态和位置。通过这种方式,供应链管理人员可以实时查询到车队的位置和状态,并且发出实时的指令,例如要求车队立即维护或者调整具体路线。 其次,物联网传感器可以通过监测温度或湿度等参数来跟踪货物的状况。这使......
    要求,并对供应商支持合规的流程及技术要求进行了阐述,希望可以给予行业一些空白领域的参考。后续TUV南德也将针对供应链管理的合规逻辑做进一步的解读。" 未来,随着......

我们与500+贴片厂合作,完美满足客户的定制需求。为品牌提供定制化的推广方案、专属产品特色页,多渠道推广,SEM/SEO精准营销以及与公众号的联合推广...详细>>

利用葫芦芯平台的卓越技术服务和新产品推广能力,原厂代理能轻松打入消费物联网(IOT)、信息与通信(ICT)、汽车及新能源汽车、工业自动化及工业物联网、装备及功率电子...详细>>

充分利用其强大的电子元器件采购流量,创新性地为这些物料提供了一个全新的窗口。我们的高效数字营销技术,不仅可以助你轻松识别与连接到需求方,更能够极大地提高“闲置物料”的处理能力,通过葫芦芯平台...详细>>

我们的目标很明确:构建一个全方位的半导体产业生态系统。成为一家全球领先的半导体互联网生态公司。目前,我们已成功打造了智能汽车、智能家居、大健康医疗、机器人和材料等五大生态领域。更为重要的是...详细>>

我们深知加工与定制类服务商的价值和重要性,因此,我们倾力为您提供最顶尖的营销资源。在我们的平台上,您可以直接接触到100万的研发工程师和采购工程师,以及10万的活跃客户群体...详细>>

凭借我们强大的专业流量和尖端的互联网数字营销技术,我们承诺为原厂提供免费的产品资料推广服务。无论是最新的资讯、技术动态还是创新产品,都可以通过我们的平台迅速传达给目标客户...详细>>

我们不止于将线索转化为潜在客户。葫芦芯平台致力于形成业务闭环,从引流、宣传到最终销售,全程跟进,确保每一个potential lead都得到妥善处理,从而大幅提高转化率。不仅如此...详细>>