基于软件制品的企业级DevSecOps建设

解读JFrog2023软件制品趋势分析报告 1 目录 企业如何使用软件制品进行DevSecOps建设 2 CONTENTS 实施案例分享 3 01解读JFrog2023分析报告 JFrog 2023全球软件制品应用报告 JFrog 2023全球软件制品应用报告 ●越来越庞大的软件供应链涉及多种技术和语言，可以跨本地、云和混合云环境交付应用程序。●企业使用的软件包类型数量平均为7种或以上，在规模较大的组织中,这一数字更高,达到29种之多。●使用Docker和Kubernetes等容器化技术的组织呈指数级增长，制品的大小也随之增长。此外,更多大型组织维护的制品数量也更多。 *数据来源于JFrog Artifactory SaaS版产品应用情况。 趋势分析 容器为王 容器化应用程序已经改变了我们打包软件并交付给最终用户的方式。Docker + OCI容器和Helm Charts的使用量快速增长(从2020年1月到2022年10月分别增长了5倍)，这表明云原生已经成为企业对DevOps建设的普遍。 传统技术语言实力未减 虽然Rust(Cargo)等新兴编程语言引起了大量关注，但Java、JavaScript、Python和C/C++等传统编程语言在现代软件开发中的地位不可撼动。例如我们的数据显示超过90%的企业仍然在维护Maven仓库。 供应链安全 2015-202162%的攻击是通过软件供应链攻击，2022增长了4X2022年有21,000CVEs被注册2022年供应链软件攻击的识别时间平均延长了26天 GOPS全球运维大会2023 ·上海站 意外风险从开发阶段引入并渗透到软件供应链中 Log4j漏洞的原理和危害 CVE-2021-4104：●Apache Log4j =1.2.x 供应链影响范围： 经不完全统计，直接和间接引用Log4j的开源组件共计超过17万个； log4j的1～4层引用关系：直接引用log4j的组件有6960个，第二层引用的超过3万个，第三层超过9万个，第四层超过16万个，总计有173200+个开源组件受Log4j漏洞影响。 已知受影响应用及组件： ●JedisLogging●LogstashHikariCP●Hadoop HiveElasticSearch●Apache SolrApache Struts2●Apache FlinkApache Druid●Apache Log4j SLF4J Binding●spring-boot-starter-log4j2 GOPS全球运维大会2023 ·上海站 Log4j漏洞的原理和危害 为什么会选择软件供应链攻击？ ●低成本●技术要求低●影响范围广，收益高 软件供应链攻击趋势 02如何实施 企业DevSecOps建设的挑战 GOPS全球运维大会2023 ·上海站 第一步：统一入口，控制源头 ●无需下载就可以集中可视化的控制第三方(OSS)软件包漏洞引入风险●通过在后台主动防止和阻止恶意和不需要的软件包，确保开发人员只使用可信的软件组件来源●审计跟踪日志●通过无缝集成和减少SDLC后期的补救，改进DevSecOps体验并实现成本节约 第三步：企业级组织级项目级设计不同制品仓库 分角色权限管理制品仓库 第四步：设计不同维度的安全门禁管控策略 安全策略 依赖混淆 ^3.0.0 := >=3.0.0 <4.0.0 1.黑客上传版本org-abc-app:3.99.99到npm registry仓库npmjs.com(任何人均可注册)2.用户请求：org-abc-app:^3.0.0 (私有版本)3.在本地仓库中寻找最新兼容的org-abc-app。找到版本为3.2.4。4.在npm-registry代理远程仓库中寻找最新兼容的org-abc-app。找到版本为3.99.99。5.来自npm registry的伪造org-abc-app:3.99.99获胜，供应链被劫持。 GOPS全球运维大会2023 ·上海站 安全策略 GOPS全球运维大会2023 ·上海站 安全策略 第五步：不同阶段安全门禁与DevOps工具链集成 03实施案例分享 管理流程简化版 二期建设 JFROG PLATFORM www.jfrogchina.com 开放运维联盟高效运维社区DevOps时代 荣誉出品