亚洲激情专区-91九色丨porny丨老师-久久久久久久女国产乱让韩-国产精品午夜小视频观看

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

你的應用有漏洞嗎?使用第三方依賴需謹慎

發布時間:2020-08-09 04:35:08 來源:ITPUB博客 閱讀:286 作者:JFrog杰蛙科技 欄目:開發技術

你的應用有漏洞嗎?使用第三方依賴需謹慎

開源對軟件的發展可以說具有深遠的意義,它幫助我們共享成果,重復使用其他人開發的軟件庫,讓我們能夠專注于我們自己的創新,它推進了技術的快速發展。據不完全統計78% 的企業都在使用開源,但是其中有多少企業關注第三方開園依賴的安全呢?其中僅有13% 將安全作為第一考慮因素。可喜的是仍然有50% 的企業將安全列為第二或第三位考慮因素,越來越多的公司開始重視第三方依賴的安全性。

為什么要關住第三方依賴的安全性

想象我們交付的軟件 Application 是一張餅,我們自己開發的代碼僅占其中很小一部分,見下圖:

你的應用有漏洞嗎?使用第三方依賴需謹慎

而開源依賴并不等于是安全的,當然也不等于不安全,自2000年,僅有幾家大廠貢獻開源,其中有Apache, Linux, IBM, OpenSSL等,而到了2015年之后,任何人都在貢獻開源社區,下圖是主流軟件庫的發展 ,數量龐大 

你的應用有漏洞嗎?使用第三方依賴需謹慎

而我們在使用這些依賴的時候,一定要意識到:

1.         開源依賴往往很少有進行安全性測試的

2.         開源軟件開發人源對安全意識普遍不高

3.         開源軟件提供方沒有多余的預算進行安全性測試

4.         黑客的主要攻擊目標是開源,因為攻擊一個,影響范圍很大

讓我們一起看幾組第三方依賴安全的調查數據:

你的應用有漏洞嗎?使用第三方依賴需謹慎


如何管理第三方依賴安全

我們看到第三方依賴是存在非常大的安全隱患的,那我們應該如何做呢?不使用第三方依賴顯然是不現實的,我們總結了四個步驟

1.         了解你都使用了哪些依賴

2.         刪除你不需要的依賴

3.         查找并修復當前已知的漏洞

4.         持續監聽新發現的漏洞,重復前三個步驟

依賴分析

相對簡單,我們使用目前的依賴管理工具可以輕松做到,如maven的dependency tree

刪除不需要的依賴

我們發現很對開發人員在維護依賴的時候,即使該依賴已經不適用,但不會刪除,這顯然會擴大黑客的攻擊范圍,因此我們需要定期檢查刪除不需要的依賴

發現并修復漏洞

第三步開始較為復雜,所幸已有很多開源組織提供了免費的漏洞庫,如US-CERT,NVD,OSVDB等漏洞廣播源,該類組織集中維護發現的已知漏洞,對外提供表述漏洞數據描述以及漏洞廣播,為開源社區安全提供數據支持,有了漏洞數據源之后,判斷我們的依賴中是否有依賴就簡單了,我們僅需要根據我們的依賴包與漏洞數據庫進行對比,就可以發現我們發布的應用中是否包含已知的漏洞,甚至有些開源組織會在漏洞庫的基礎上提供關于漏洞的修復建議,如 Synk.io,JFrog 和 Sync 合作貢獻了一個漏洞數據源(JXray),其中包含主流漏洞數據源,包括剛才提到的幾個,這樣我們就可以對我們包含對漏洞進行漏洞升級。

JXray 漏洞數據源 

你的應用有漏洞嗎?使用第三方依賴需謹慎

持續監聽新的漏洞

我們知道漏洞是持續增長的,近幾年每年平均都有900左右的新漏洞,我們需要持續監聽這些新產生的漏洞,并與我們內部軟件生命周期集成,與DevOps有機結合(DevSecOps),這顯然需要一套平臺或系統幫助我們系統的管理第三方漏洞安全,下面我們整理了一個漏洞掃描平臺技術需求設計

漏洞掃描平臺技術需求設計

能力分類

技術指標

指標需求描述

價值描述

掃描能力

多語言支持

支持主流語言漏洞掃描能力,如war,jar,docker,npm,python,debian,rpm等

統一監管企業各種技術棧的開發,漏洞風險與License合規分析,全面避免漏洞上線到生產環境

深度掃描能力

對二進制包深入逐層進行漏洞掃描,如war包中包含jar包

細粒度,深層次發現可能的漏洞,處理混合式軟件發布體系,如Docker鏡像,rpm等

分析能力

正向依賴分析

能夠分析定位出掃描目標漏洞包所在位置,標出具體哪個依賴出現漏洞

為企業快速定位問題及恢復提供數據依據

反向依賴分析

能夠自動化分析出漏洞包的影響范圍

快速分析漏洞問題的影響范圍,加速線上漏洞的恢復,最大程度降低企業風險

以及評估風險成本

漏洞庫

開源漏洞數據集成

集成NVD等漏洞數據中心

針對第三方依賴包,對外部依賴包進行統一監管

商業漏洞數據集成

集成第三方商業漏洞工具能力,如

BlackDuck

WhiteSource

豐富漏洞數據庫,最大程度降低第三方依賴漏洞風險

本地漏洞數據中心

對第三方依賴或企業自研件添加自定義漏洞,如與Jira等缺陷管理系統的集成

針對企業內部構建的軟件監管,避免團隊內部漏洞包進一步擴散到其他團隊

其他漏洞掃描工具集成

通過API,自定義擴展對接第三方漏洞數據庫,如病毒掃描工具集成

進一步豐富漏洞掃描范圍,加強漏洞掃描能力,如木馬病毒等

告警

自定義告警規則

不同項目管理人員可以監聽各自項目或軟件制品

同時提供全局監管與分級監管機制,提高項目團隊自主安全意識

告警通知,自動化

郵件通知及webhook支持,

發現漏洞可以與自動化任務集成,如高危漏洞觸發回滾任務

提高企業漏洞快速相應能力,甚至漏洞自修復能力,降低企業風險

生態,CI/CD

作為CI/CD軟件交付質量關卡

可以在軟件交付流水線中集成,根據掃描結果,繼續或阻止流水線運行

多維度加強軟件交付質量,增加流水線質量關卡,保證軟件交付質量

RestAPI 支持

提供RestFul方式對接漏洞掃描平臺

方便企業與內部工具鏈集成

可視化

漏洞分析報表

漏洞掃描趨勢圖

漏洞頻率top圖

可視化漏洞監管能力

提供決策依據

License 報表

License 分布圖

License 兼容性分析圖

可視化企業在用License

提供決策依據

JFrog Xray 介紹

JFrog Xray 是一個通用的漏洞掃描平臺,可以滿足我們對第三方漏洞安全管理的所有需求,其主要有以下幾個特性

支持多語言漏洞掃描

Java,Docker,Npm,Python,Ruby Gems,Nuget,Rpm,Debian等主流語言漏洞掃描,統一對所有開發技術棧進行安全管理

深入掃描能力

我們會深入分析軟件的依賴及其傳遞依賴,甚至是Docker 鏡像中的操作系統層,如Docker 鏡像中ubuntu操作系統Layer中某一個debian包存在漏洞。下圖是一個Docker 鏡像中包含的一個基礎maven jar包含漏洞的分析圖

你的應用有漏洞嗎?使用第三方依賴需謹慎


影響范圍分析

當我們監聽到一個新的漏洞后,我們往往很難定為其被哪些項目依賴并試用,極為耗時,且總會有遺漏的情況出現,提高了企業損失的幾率。

JFrog Xray 會根據所有收集到的依賴拓撲,進行反向依賴性分析,逐層找到所有包含漏洞包的上層應用。快速分析漏洞的影響范圍,評估漏洞上線風險,指導企業進行漏洞修復 

你的應用有漏洞嗎?使用第三方依賴需謹慎

開放式集成

可以擴展與其他第三方漏洞數據平臺集成,如Whitesource,Blackduck等,通過Xray 平臺提供的Rest Api,甚至可以與企業自己漏洞數據源進行集成,形成企業安全的統一管理閉環。 

你的應用有漏洞嗎?使用第三方依賴需謹慎

DevOps 集成能力(DevSecOps)

我們可以在軟件持續交付流水線中集成漏洞掃描能力,將安全機制集成進來,作為企業軟件質量關卡中的一部分,當發現漏洞的時候,阻止漏洞包交付到生產環境,如下圖 

你的應用有漏洞嗎?使用第三方依賴需謹慎

JFrog Xray 架構介紹

JFrog Xray 采用微服務架構設計,其中主要包含以下幾個微服務,

l    Server,主服務,UI

l    Indexer,索引層,進行軟件包索引

l    Persist,持久層,存儲漏洞及掃描結果

l    Analysis,分析層,分析依賴拓撲及反向依賴,發現漏洞并告警

JFrog Xray同時支持高可用集群方式,針對企業級安全管理,提高漏洞掃描的效率及穩定性,并且與 JFrog Artifactory 通用二進制包管理系統原生集成,共同組成制品管理統一管理方案。

你的應用有漏洞嗎?使用第三方依賴需謹慎


微服務數據流 

你的應用有漏洞嗎?使用第三方依賴需謹慎


總結

本次分享,介紹了在使用第三方依賴時的安全隱患,以及針對該類問題,我們應該如何管理第三方依賴的安全,同時介紹了JFrog Xray 的安全管理特性,幫助企業輕松管理第三方漏洞,降低企業安全風險,避免含有漏洞的包上線到生產環境或客戶環境中。 

你的應用有漏洞嗎?使用第三方依賴需謹慎

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

云南省| 珲春市| 上蔡县| 湟源县| 紫阳县| 清丰县| 子洲县| 九龙坡区| 海兴县| 余庆县| 英超| 乾安县| 乐业县| 洱源县| 山阳县| 永仁县| 江孜县| 梁河县| 镇康县| 崇左市| 阿瓦提县| 佛学| 博乐市| 沁水县| 崇信县| 云南省| 桐乡市| 喀喇沁旗| 泽库县| 洛宁县| 沈阳市| 莫力| 沅江市| 龙江县| 琼中| 龙山县| 辽阳市| 晋宁县| 娄烦县| 唐河县| 玉溪市|