軟體供應鏈安全問題日益受到關注,這主要由於全球化的軟體開發和交付過程越來越複雜,給安全帶來了挑戰。近年來,一系列影響嚴重的供應鏈惡意攻擊事件(如 SolarWinds 攻擊、Codecov 事件)進一步凸顯了軟體供應鏈安全的脆弱性以及加強其防護的迫切需求。軟體供應鏈安全已成為現代企業面臨的重要挑戰,儘管企業在安全意識、軟體工具、新興技術和最佳實踐上都取得了一定的進步,但依然存在許多難題需要解決。安全團隊需要在整個軟體開發生命周期內實施門控和控制。真正實現端到端的安全需要採用主動(安全左移)和被動(安全右移)相結合的方法來保護應用程式在開發的每個階段的安全性。
安全左移還沒搞完,
安全右移又來了?
雖然安全左移的概念更為人所知,但它也在不斷發展。開發人員越來越多地使用 Copilot 等生成式 AI 工具來幫助他們更快、更安全地編寫更多代碼。但是,安全右移涉及保護生產環境,這取決於企業的部署策略,可以包括容器化應用程式和雲原生部署。
什麼是安全左移?
安全性左移的概念旨在開發生命周期的早期階段集成安全實踐,從而降低將漏洞引入到開發環境的可能性。軟體開發人員代表軟體供應鏈的最左邊,通過安全編碼實踐推動安全性左移,防止不安全的代碼被編譯到軟體二進位文件中。
安全左移的目標是通過儘早預防漏洞(例如危險的編碼實踐和身份驗證弱點)來最大限度地減少攻擊面。在軟體開發流程的早期發現和修復錯誤還可以降低與補救相關的成本和複雜性。
什麼是安全右移?
安全測試向右移動側重於持續測試在生產環境中運行的應用程式,建立持續的安全檢查,並防止部署後檢測到的漏洞被納入下一次更新。雖然安全左移的概念更為人所知,但在保護端到端的軟體供應鏈安全方面,安全右移同樣重要。
安全右移強調了運行時和部署階段的安全措施,旨在改善用戶體驗並確保在發布軟體更新之前不會出現任何問題。這涉及監控生產環境、檢測和應對安全事件,以及根據實際反饋不斷提高軟體的安全性。安全性右移的意識產生證實了生產環境中可能存在或出現漏洞,從而擴大了攻擊面,包括配置錯誤、易受攻擊的容器鏡像和運行時漏洞等問題。
安全左移和安全右移是兩種不同的方法,它們將安全實踐整合到軟體開發生命周期的不同階段。安全右移將企業的安全實踐貫穿整個生產環境並進入運行時,而安全左移則涵蓋軟體開發流程的早期階段。
雖然安全左移的實踐可以儘早發現問題,但安全右移測試可以為部署和運行時環境提供關鍵保護,確保應用程式在任何情況下都能按預期運行。同時採用安全左移和安全右移方法是確保軟體供應鏈安全的最有效策略。
端到端保護軟體開發生命周期
儘管每個企業都盡最大努力預防安全威脅,但安全威脅仍在不斷增加,而且隨著攻擊者正在使用人工智慧和機器學習,情況只會變得更糟。組織必須在整個軟體開發生命周期中實施端到端的軟體供應鏈安全解決方案。
9 月,JFrog 正式宣布推出 Runtime 安全右移解決方案,支持 JFrog 端到端覆蓋安全左移和安全右移的軟體供應鏈管理平台。通過監督和保護處於運行狀態的應用程式來解決應用程式安全的基本問題。該方案不僅能夠實時監控應用程式的運行狀態、數據流和操作環境,還能夠在第一時間檢測到安全威脅,並迅速採取措施進行通知和補救。這種動態的、實時的保護機制,與傳統的靜態安全測試(SAST)形成了鮮明對比,後者通常只能在開發階段發現問題。
JFrog Runtime 的推出,為開發人員提供了一個強大的工具,使他們能夠顯著提高應用程式的穩健性。同時,它也為運營和安全團隊提供了更有效的威脅處理手段,從而在保護應用程式的同時,也降低了相關的成本。這一點在當今成本敏感的商業環境中尤為重要。
10 月 22 日,InfoQ 極客有約欄目特別邀請到 JFrog (中國) 技術總監王青作客,與特邀主持阿里雲高級架構師劉永寬共同探討軟體供應鏈安全的相關問題。如何確保在容器化時代下軟體供應鏈的安全性?如何通過最新的技術手段來應對不斷演變的安全威脅?如何在整個軟體開發生命周期中實現端到端的保護?這些問題的答案,都將在 10 月 22 日的極客有約直播中揭曉。