現(xiàn)代應(yīng)用開發(fā)提升了速度，也加劇了安全風(fēng)險。開發(fā)人員需要將安全納入到開發(fā)流程。尤其是云原生網(wǎng)絡(luò)安全威脅形勢越來越嚴(yán)峻，安全必須在不中斷運行的情況下融入到開發(fā)流程中。

　　新思科技(Synopsys， Nasdaq： SNPS)發(fā)布最新供應(yīng)鏈安全調(diào)研報告。該報告由新思科技軟件質(zhì)量與安全部門委托技術(shù)研究公司Enterprise Strategy Group(ESG)執(zhí)行，面向350名應(yīng)用開發(fā)、信息技術(shù)和網(wǎng)絡(luò)安全決策者進行調(diào)研。該報告名為《一往無前：GitOps與安全左移 - 可擴展且以開發(fā)者為中心的供應(yīng)鏈安全解決方案》(Walking the Line： GitOps and Shift Left Security： Scalable， Developer-centric Supply Chain Security Solutions)，其指出軟件供應(yīng)鏈風(fēng)險不限于開源范圍。

　　針對 Log4Shell、SolarWinds 和Kaseya 等軟件供應(yīng)鏈攻擊，73%的受訪者表示，他們已通過各種安全舉措顯著加大了對企業(yè)軟件供應(yīng)鏈的保護力度。這些舉措包括采用強大的多因素身份驗證技術(shù) (33%)；投資應(yīng)用安全測試措施(32%)； 以及改進資產(chǎn)發(fā)現(xiàn)流程以更新攻擊面清單 (30%)。盡管做出了這些努力，但仍有 34%的企業(yè)指出，他們的應(yīng)用在過去 12 個月內(nèi)因開源軟件(OSS)中的已知漏洞而被利用，其中28%的企業(yè)在開源軟件中發(fā)現(xiàn)之前未知的漏洞（"零日"漏洞利用攻擊）。

　　隨著使用規(guī)模增加，開源軟件在應(yīng)用程序中的存在自然也會增加。當(dāng)前，軟件物料清單 (SBOM)是解決軟件供應(yīng)鏈風(fēng)險管理燃眉之急的重要途經(jīng)。開源軟件使用量激增，而開源管理乏善可陳，這使得制作SBOM變得復(fù)雜。ESG公司研究也證實了這一點： 39%的受訪者將SBOM標(biāo)記為使用開源軟件的挑戰(zhàn)。

　　新思科技軟件質(zhì)量與安全部門總經(jīng)理Jason Schmitt表示："近年來，供應(yīng)鏈安全漏洞、攻擊的新聞頻發(fā)。企業(yè)意識到這對他們的業(yè)務(wù)會產(chǎn)生潛在的負(fù)面影響。采取主動安全策略已經(jīng)成為企業(yè)的當(dāng)務(wù)之急。雖然管理開源風(fēng)險是管理云原生應(yīng)用中軟件供應(yīng)鏈風(fēng)險的關(guān)鍵組成部分，但我們還必須認(rèn)識到風(fēng)險是超出了開源組件范圍的。基礎(chǔ)設(shè)施即代碼、容器、API、代碼存儲庫等，不勝枚舉。企業(yè)必須考慮所有因素，以進行全面部署，確保軟件供應(yīng)鏈安全。"

　　雖然開源軟件可能是最初的供應(yīng)鏈安全關(guān)注點，但向云原生應(yīng)用開發(fā)的轉(zhuǎn)變讓企業(yè)擔(dān)心對供應(yīng)鏈的其它環(huán)節(jié)會構(gòu)成的風(fēng)險。這不僅包括源代碼，還包括云原生應(yīng)用如何存儲、打包和部署，以及它們?nèi)绾瓮ㄟ^應(yīng)用程序編程接口 (API) 互聯(lián)。近一半 (45%) 的受訪者認(rèn)為API以及數(shù)據(jù)存儲庫 (42%) 和應(yīng)用容器鏡像 (34%)是最容易受到攻擊的載體。

　　幾乎所有(99%)的受訪者表示，他們的企業(yè)目前使用或計劃在未來12個月內(nèi)使用開源軟件。盡管對這些開源項目的維護、安全性和可信性存在擔(dān)憂，但最受關(guān)注的問題與在應(yīng)用開發(fā)中使用開源的規(guī)模有關(guān)。 54%的企業(yè)將"擁有高比例的開源應(yīng)用代碼"列為他們的主要關(guān)注點。

　　新思科技網(wǎng)絡(luò)安全研究中心首席安全策略師Tim Mackey表示："憑借SBOM，軟件運營商可以了解應(yīng)用中包含哪些第三方軟件生產(chǎn)商，無論是來自開源、商業(yè)還是簽約的第三方。在設(shè)計補丁管理流程時，這些信息至關(guān)重要。因為沒有這些信息，對任何應(yīng)用中存在的軟件風(fēng)險的觀察都不全面，無論其來源如何。有了這些信息，一旦 Log4Shell 出現(xiàn)下一個零日漏洞（這會發(fā)生），企業(yè)將能夠快速有效地采取行動，抵御針對第三方軟件組件的攻擊。"

　　調(diào)查結(jié)果還表明，盡管越來越多構(gòu)建云原生應(yīng)用的企業(yè)采取以開發(fā)人員為中心的安全策略和安全"左移"（一個專注于使開發(fā)人員能夠在開發(fā)生命周期早期進行安全測試的概念），但 97% 的企業(yè)在過去 12 個月內(nèi)遭遇過涉及其云原生應(yīng)用的安全事件。

　　更快的發(fā)布周期也給所有團隊帶來了安全挑戰(zhàn)：應(yīng)用開發(fā)(41%)和DevOps(45%)團隊允許開發(fā)人員經(jīng)常跳過已建立的安全流程；而且大多數(shù)應(yīng)用開發(fā)人員(55%)允許安全團隊缺乏對開發(fā)流程的可見性。 68%的受訪者表示，他們高度重視采用以開發(fā)人員為中心的安全解決方案，并將部分安全責(zé)任轉(zhuǎn)移給開發(fā)人員。目前負(fù)責(zé)應(yīng)用安全測試的開發(fā)人員 (45%)多于安全團隊 (40%)。開發(fā)人員使用內(nèi)部開發(fā)或開源安全工具的可能性是專門的第三方供應(yīng)商的兩倍。

　　與此同時，開發(fā)人員在保護云原生應(yīng)用的軟件供應(yīng)鏈方面發(fā)揮著更大的作用，但只有36%的安全團隊完全接受由開發(fā)團隊負(fù)責(zé)安全測試。諸如使開發(fā)團隊負(fù)擔(dān)過重的額外工具和責(zé)任、破壞創(chuàng)新和速度以及獲得對安全工作的監(jiān)督權(quán)等問題仍然是開發(fā)人員主導(dǎo)的應(yīng)用安全工作的最大障礙。

　　點擊這里下載報告《一往無前：GitOps與安全左移 - 可擴展且以開發(fā)者為中心的供應(yīng)鏈安全解決方案》。
https://www.synopsys.com/zh-cn/software-integrity/resources/analyst-reports/gitops-and-shift-left-security.html?cmp=pr-sig&utm_medium=referral