作者：JFrog大中華區(qū)總經(jīng)理董任遠(yuǎn)

業(yè)務(wù)成功的關(guān)鍵驅(qū)動(dòng)力在于企業(yè)開發(fā)和交付軟件的速度。團(tuán)隊(duì)任務(wù)是不斷尋找盡可能高效的工作新方法，通常會(huì)借助開源庫(kù)和組件來(lái)加快交付速度。事實(shí)上，有研究表明市場(chǎng)上多達(dá) 97% 的應(yīng)用程序都使用開源軟件。

雖然開源倉(cāng)庫(kù)有助于節(jié)省時(shí)間，但也成為了網(wǎng)絡(luò)罪犯的主要目標(biāo)。因?yàn)橹恍杵茐拈_源庫(kù)中的一個(gè)軟件包，這些惡意攻擊者就能獲得多家企業(yè)的后門訪問(wèn)權(quán)限，給全球數(shù)百萬(wàn)開發(fā)者的工作帶來(lái)安全隱患。

在“生產(chǎn)競(jìng)賽”中，速度絕不能以犧牲安全為代價(jià)。以下三大實(shí)用步驟能夠最大限度地降低軟件供應(yīng)鏈中的風(fēng)險(xiǎn)：

1. 確保正在使用的開源庫(kù)得到正確掃描

2022 年，全球 1700 家企業(yè)遭受到軟件供應(yīng)鏈攻擊，超 1000 萬(wàn)人受到影響，其中幾乎所有攻擊都包含一些錯(cuò)誤或惡意的開源代碼。正如下文中的數(shù)字所示一般。

相關(guān)行業(yè)研究顯示，僅僅在 1 月份，NPM 就新增了 95,000 個(gè)軟件包。除此之外，75 萬(wàn)個(gè)新版本的現(xiàn)有軟件包也被更新到庫(kù)中。雖然這些庫(kù)毫無(wú)疑問(wèn)希望確保代碼合法，但開源的本質(zhì)意味著幾乎不可能進(jìn)行驗(yàn)證。因此，企業(yè)有責(zé)任確保這些軟件包可以安全地添加到其開發(fā)供應(yīng)鏈中。業(yè)界曾用維基百科來(lái)比喻開源關(guān)系：雖然維基百科是很棒的免費(fèi)資源，但使用它的個(gè)人有責(zé)任核實(shí)信息的準(zhǔn)確性。

企業(yè)可以用可擴(kuò)展的方式實(shí)現(xiàn)這種程度的審查，通過(guò)連接到開源倉(cāng)庫(kù)并掃描與軟件包或更新版本相關(guān)的元數(shù)據(jù)，以了解其上下文，如它們是否與惡意攻擊或漏洞相關(guān)聯(lián)，或它們是何時(shí)創(chuàng)建的。通過(guò)回答此類問(wèn)題，開發(fā)者可以在自己的生態(tài)系統(tǒng)中將代碼推進(jìn)到下一階段的開發(fā)，并增強(qiáng)對(duì)代碼安全性的信心。

2. 開發(fā)一種“超越”左移的方法

左移模式對(duì)企業(yè)來(lái)說(shuō)非常有幫助，因?yàn)榭梢员M可能地在入口點(diǎn)附近對(duì)開源組件進(jìn)行檢查。相較于軟件開發(fā)的早期“狂野西部”時(shí)代（只有在最后階段才會(huì)對(duì)代碼進(jìn)行檢查，一旦發(fā)現(xiàn)問(wèn)題就不得不再次從頭開始），這一方法頗受歡迎。

隨著軟件開發(fā)不斷成熟，最重視軟件安全的企業(yè)將尋求一種超越左移的方法。

為此，可以在將組件引入集成開發(fā)環(huán)境之前檢查組件是否存在漏洞。具體而言，可以通過(guò)創(chuàng)建一個(gè)氣隙環(huán)境，根據(jù)企業(yè)特定需求定制的策略來(lái)檢查輸入的開源代碼，并在進(jìn)入環(huán)境前便可過(guò)濾掉不符合標(biāo)準(zhǔn)的代碼。

3. 將安全措施集中于單一平臺(tái)

上述兩種方法將有助于以更具成本效益的方式管理軟件供應(yīng)鏈中的潛在安全問(wèn)題。 此外，使用專門針對(duì)這些領(lǐng)域的解決方案，能夠幫助把握可能在軟件開發(fā)周期后期出現(xiàn)的安全問(wèn)題。

眾所周知，開源數(shù)據(jù)庫(kù)的流動(dòng)性非常高，并且一直處于不斷變化之中。即使一個(gè)軟件包通過(guò)掃描和左移前的安全措施，仍無(wú)法百分之百保證其安全性。我們可以采用能夠理解此生命周期每個(gè)階段的解決方案，一旦發(fā)現(xiàn)惡意內(nèi)容，企業(yè)可以在整個(gè)開發(fā)過(guò)程中的任何時(shí)間點(diǎn)采取適當(dāng)?shù)难a(bǔ)救措施。

以安全為重的軟件供應(yīng)鏈平臺(tái)可通過(guò)上述最佳實(shí)踐，幫助實(shí)現(xiàn)整個(gè)軟件構(gòu)建與發(fā)布流程的自動(dòng)化并確保其安全，從而助力開發(fā)者加快軟件交付速度，同時(shí)強(qiáng)化企業(yè)的安全態(tài)勢(shì)。

優(yōu)先考慮軟件供應(yīng)鏈安全

大多數(shù)軟件開發(fā)所依賴的開源生態(tài)系統(tǒng)將持續(xù)存在。這些庫(kù)的便利性和速度無(wú)與倫比，是現(xiàn)代開發(fā)團(tuán)隊(duì)的必備資源。然而，由于一些環(huán)境的性質(zhì)，使用它們的個(gè)人和企業(yè)有責(zé)任確保其安全可靠。

采用上述三大步驟，能夠持續(xù)推動(dòng)開發(fā)工作流的創(chuàng)新和效率，并在企業(yè)中應(yīng)用頂級(jí)安全實(shí)踐操作。

關(guān)于JFrog

JFrog Ltd.（納斯達(dá)克股票代碼：FROG）的使命是創(chuàng)造一個(gè)從開發(fā)人員到設(shè)備之間暢通無(wú)阻的軟件交付世界。秉承“流式軟件”的理念，JFrog軟件供應(yīng)鏈平臺(tái)是統(tǒng)一的記錄系統(tǒng)，幫助企業(yè)快速安全地構(gòu)建、管理和分發(fā)軟件，確保軟件可用、可追溯和防篡改。集成的安全功能還有助于發(fā)現(xiàn)和抵御威脅和漏洞并加以補(bǔ)救。JFrog 的混合、通用、多云平臺(tái)可以作為跨多個(gè)主流云服務(wù)提供商的自托管和SaaS服務(wù)。全球數(shù)百萬(wàn)用戶和7000多名客戶，包括大多數(shù)財(cái)富100強(qiáng)企業(yè)，依靠JFrog解決方案安全地開展數(shù)字化轉(zhuǎn)型。一用便知！如欲了解更多信息，請(qǐng)?jiān)L問(wèn)jfrogchina.com或者關(guān)注我們的微信官方賬號(hào)：JFrog捷蛙。