現(xiàn)代應(yīng)用開(kāi)發(fā)提升了速度，也加劇了安全風(fēng)險(xiǎn)。開(kāi)發(fā)人員需要將安全納入到開(kāi)發(fā)流程。尤其是云原生網(wǎng)絡(luò)安全威脅形勢(shì)越來(lái)越嚴(yán)峻，安全必須在不中斷運(yùn)行的情況下融入到開(kāi)發(fā)流程中。

　　新思科技(Synopsys， Nasdaq： SNPS)發(fā)布最新供應(yīng)鏈安全調(diào)研報(bào)告。該報(bào)告由新思科技軟件質(zhì)量與安全部門委托技術(shù)研究公司Enterprise Strategy Group(ESG)執(zhí)行，面向350名應(yīng)用開(kāi)發(fā)、信息技術(shù)和網(wǎng)絡(luò)安全決策者進(jìn)行調(diào)研。該報(bào)告名為《一往無(wú)前：GitOps與安全左移 - 可擴(kuò)展且以開(kāi)發(fā)者為中心的供應(yīng)鏈安全解決方案》(Walking the Line： GitOps and Shift Left Security： Scalable， Developer-centric Supply Chain Security Solutions)，其指出軟件供應(yīng)鏈風(fēng)險(xiǎn)不限于開(kāi)源范圍。

　　針對(duì) Log4Shell、SolarWinds 和Kaseya 等軟件供應(yīng)鏈攻擊，73%的受訪者表示，他們已通過(guò)各種安全舉措顯著加大了對(duì)企業(yè)軟件供應(yīng)鏈的保護(hù)力度。這些舉措包括采用強(qiáng)大的多因素身份驗(yàn)證技術(shù) (33%)；投資應(yīng)用安全測(cè)試措施(32%)； 以及改進(jìn)資產(chǎn)發(fā)現(xiàn)流程以更新攻擊面清單 (30%)。盡管做出了這些努力，但仍有 34%的企業(yè)指出，他們的應(yīng)用在過(guò)去 12 個(gè)月內(nèi)因開(kāi)源軟件(OSS)中的已知漏洞而被利用，其中28%的企業(yè)在開(kāi)源軟件中發(fā)現(xiàn)之前未知的漏洞（"零日"漏洞利用攻擊）。

　　隨著使用規(guī)模增加，開(kāi)源軟件在應(yīng)用程序中的存在自然也會(huì)增加。當(dāng)前，軟件物料清單 (SBOM)是解決軟件供應(yīng)鏈風(fēng)險(xiǎn)管理燃眉之急的重要途經(jīng)。開(kāi)源軟件使用量激增，而開(kāi)源管理乏善可陳，這使得制作SBOM變得復(fù)雜。ESG公司研究也證實(shí)了這一點(diǎn)： 39%的受訪者將SBOM標(biāo)記為使用開(kāi)源軟件的挑戰(zhàn)。

　　新思科技軟件質(zhì)量與安全部門總經(jīng)理Jason Schmitt表示："近年來(lái)，供應(yīng)鏈安全漏洞、攻擊的新聞?lì)l發(fā)。企業(yè)意識(shí)到這對(duì)他們的業(yè)務(wù)會(huì)產(chǎn)生潛在的負(fù)面影響。采取主動(dòng)安全策略已經(jīng)成為企業(yè)的當(dāng)務(wù)之急。雖然管理開(kāi)源風(fēng)險(xiǎn)是管理云原生應(yīng)用中軟件供應(yīng)鏈風(fēng)險(xiǎn)的關(guān)鍵組成部分，但我們還必須認(rèn)識(shí)到風(fēng)險(xiǎn)是超出了開(kāi)源組件范圍的。基礎(chǔ)設(shè)施即代碼、容器、API、代碼存儲(chǔ)庫(kù)等，不勝枚舉。企業(yè)必須考慮所有因素，以進(jìn)行全面部署，確保軟件供應(yīng)鏈安全。"

　　雖然開(kāi)源軟件可能是最初的供應(yīng)鏈安全關(guān)注點(diǎn)，但向云原生應(yīng)用開(kāi)發(fā)的轉(zhuǎn)變讓企業(yè)擔(dān)心對(duì)供應(yīng)鏈的其它環(huán)節(jié)會(huì)構(gòu)成的風(fēng)險(xiǎn)。這不僅包括源代碼，還包括云原生應(yīng)用如何存儲(chǔ)、打包和部署，以及它們?nèi)绾瓮ㄟ^(guò)應(yīng)用程序編程接口 (API) 互聯(lián)。近一半 (45%) 的受訪者認(rèn)為API以及數(shù)據(jù)存儲(chǔ)庫(kù) (42%) 和應(yīng)用容器鏡像 (34%)是最容易受到攻擊的載體。

　　幾乎所有(99%)的受訪者表示，他們的企業(yè)目前使用或計(jì)劃在未來(lái)12個(gè)月內(nèi)使用開(kāi)源軟件。盡管對(duì)這些開(kāi)源項(xiàng)目的維護(hù)、安全性和可信性存在擔(dān)憂，但最受關(guān)注的問(wèn)題與在應(yīng)用開(kāi)發(fā)中使用開(kāi)源的規(guī)模有關(guān)。 54%的企業(yè)將"擁有高比例的開(kāi)源應(yīng)用代碼"列為他們的主要關(guān)注點(diǎn)。

　　新思科技網(wǎng)絡(luò)安全研究中心首席安全策略師Tim Mackey表示："憑借SBOM，軟件運(yùn)營(yíng)商可以了解應(yīng)用中包含哪些第三方軟件生產(chǎn)商，無(wú)論是來(lái)自開(kāi)源、商業(yè)還是簽約的第三方。在設(shè)計(jì)補(bǔ)丁管理流程時(shí)，這些信息至關(guān)重要。因?yàn)闆](méi)有這些信息，對(duì)任何應(yīng)用中存在的軟件風(fēng)險(xiǎn)的觀察都不全面，無(wú)論其來(lái)源如何。有了這些信息，一旦 Log4Shell 出現(xiàn)下一個(gè)零日漏洞（這會(huì)發(fā)生），企業(yè)將能夠快速有效地采取行動(dòng)，抵御針對(duì)第三方軟件組件的攻擊。"

　　調(diào)查結(jié)果還表明，盡管越來(lái)越多構(gòu)建云原生應(yīng)用的企業(yè)采取以開(kāi)發(fā)人員為中心的安全策略和安全"左移"（一個(gè)專注于使開(kāi)發(fā)人員能夠在開(kāi)發(fā)生命周期早期進(jìn)行安全測(cè)試的概念），但 97% 的企業(yè)在過(guò)去 12 個(gè)月內(nèi)遭遇過(guò)涉及其云原生應(yīng)用的安全事件。

　　更快的發(fā)布周期也給所有團(tuán)隊(duì)帶來(lái)了安全挑戰(zhàn)：應(yīng)用開(kāi)發(fā)(41%)和DevOps(45%)團(tuán)隊(duì)允許開(kāi)發(fā)人員經(jīng)常跳過(guò)已建立的安全流程；而且大多數(shù)應(yīng)用開(kāi)發(fā)人員(55%)允許安全團(tuán)隊(duì)缺乏對(duì)開(kāi)發(fā)流程的可見(jiàn)性。 68%的受訪者表示，他們高度重視采用以開(kāi)發(fā)人員為中心的安全解決方案，并將部分安全責(zé)任轉(zhuǎn)移給開(kāi)發(fā)人員。目前負(fù)責(zé)應(yīng)用安全測(cè)試的開(kāi)發(fā)人員 (45%)多于安全團(tuán)隊(duì) (40%)。開(kāi)發(fā)人員使用內(nèi)部開(kāi)發(fā)或開(kāi)源安全工具的可能性是專門的第三方供應(yīng)商的兩倍。

　　與此同時(shí)，開(kāi)發(fā)人員在保護(hù)云原生應(yīng)用的軟件供應(yīng)鏈方面發(fā)揮著更大的作用，但只有36%的安全團(tuán)隊(duì)完全接受由開(kāi)發(fā)團(tuán)隊(duì)負(fù)責(zé)安全測(cè)試。諸如使開(kāi)發(fā)團(tuán)隊(duì)負(fù)擔(dān)過(guò)重的額外工具和責(zé)任、破壞創(chuàng)新和速度以及獲得對(duì)安全工作的監(jiān)督權(quán)等問(wèn)題仍然是開(kāi)發(fā)人員主導(dǎo)的應(yīng)用安全工作的最大障礙。

　　點(diǎn)擊這里下載報(bào)告《一往無(wú)前：GitOps與安全左移 - 可擴(kuò)展且以開(kāi)發(fā)者為中心的供應(yīng)鏈安全解決方案》。
https://www.synopsys.com/zh-cn/software-integrity/resources/analyst-reports/gitops-and-shift-left-security.html?cmp=pr-sig&utm_medium=referral