几个优秀软件供应链安全用具
发布时间:2022-06-13 15:16:18 所属栏目:安全 来源:互联网
导读:正如Apache Log4J漏洞在今年早些时候带来的影响所表明的那样,当今企业软件中最大的风险并不是由内部软件开发团队编写的不安全代码。当今软件代码库大部分的组件、库和其他开源代码存在的缺陷是不安全性这座冰山的水下部分。 事实上,DevOps团队和软件工程团
|
正如Apache Log4J漏洞在今年早些时候带来的影响所表明的那样,当今企业软件中最大的风险并不是由内部软件开发团队编写的不安全代码。当今软件代码库大部分的组件、库和其他开源代码存在的缺陷是不安全性这座冰山的水下部分。 事实上,DevOps团队和软件工程团队采用的许多企业软件和自定义应用程序实际上并不是由他们的开发人员编写的。如今的现代软件通常是模块化的。开发人员使用所谓的微服务架构来构建新的应用程序,其方法就像搭建乐高积木,而其架构只是使用由预制代码组成的模块构建。开发人员无需在每次需要应用程序执行通用功能时重新发明轮子,而是在他们众所周知的模块工具箱中寻找合适的模块来完成他们需要的工作。 这个工具箱就是当今不断扩展的软件供应链,有时是非正式的代码源,它来自当今在线上流传的数百万个GitHub存储库和开源项目。它由大量应用程序以及用于构建现代开发管道的底层应用程序和开发基础设施中使用的组件和库组成。 当然,这个供应链提供的程序并不是真正的模块,它们并不总是完美地结合,因此开发人员创建自定义代码将所有这些部分整合在一起。事实上,许多人经常将这些创作开发成更多的开源项目,以供其他人解决类似问题。这也是软件供应链不断增长的原因之一。 软件供应链带来的漏洞就像企业软件中在网络安全方面隐藏的地雷,尤其是当企业没有采取任何措施来管理其开发人员如何使用软件供应链时。许多企业甚至几乎不跟踪(更不用说审查或管理)进入或生成其开发人员提交的代码的组件、库和开发人员工具的种类。根据Linux基金会发布的一项研究报告,不到一半的企业使用软件材料清单(SBOM)来准确跟踪从软件供应链进入其应用程序的内容。 创建软件物料清单 (SBOM)是供应链安全的基础,同时也是开源治理和保护基础设施的基础,因为基础设施是与整个软件开发生命周(SDLC)中的应用程序相关的代码元素。以下是有助于实现这一目标的重点强调软件组合分析(SCA)的工具列表,这些工具专门专注于开发创建软件物料清单 (SBOM)、提高对软件内容的可见性,以及修复作为软件构建块的组件中的缺陷。 (编辑:衡阳站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
