安全事件(如log4Shell、Solar Winds、Colors and Fakers等)及其对全球数以千计公司造成的灾难性影响,凸显了企业目前在强化数字环境方面所面临的挑战。例如,IDC的一项调查显示,虽然2022年一年内全球就有超过1,000万人和1,700家实体受到供应链攻击的影响,但仍有87%的受访者青睐继续使用开源组件来构建软件。使用开源代码的人日益增多,这带来不可否认的优势,促进合作开发,加快发展进程。然而,也必须认识到,这种整合存在风险。
有行业研究表明,82%的开源软件组件因存在漏洞、安全问题、代码质量或可维护性问题而存在“固有风险”。该报告还显示,虽然企业中超过70%的软件是开源的,但这些组件往往没有得到追踪、维护、更新或清点,从而在软件供应链中留下了严重的漏洞,让威胁行为者有可乘之机。这些数据凸显出当下已成为软件创新与安全相融合的“节骨眼”。
在当今软件驱动的世界里,“唯快不破”的口号推动着软件开发,对软件开发和部署的速度提出更高的要求。开发人员要兼顾业务需求,而安全团队则要增加保护层,但这些措施可能会延长时间。尽管偷工减料的做法很具诱惑性,但IDC的智慧还是占了上风:“今天安全不意味着明天一定安全”。IDC指出,在部署之后进行二进制漏洞修复,可能会花费数百万美元。更明智的做法是在部署软件之前,评估并解决安全问题,避免在高风险运行时造成影响。在创新无止境的时代,安全不是一种选择,而是成败的决定性因素。
软件开发过程错综复杂,为加速开发和部署安全软件,关键在于开发人员、运营团队和安全团队之间的协作。
● 为拦截抵御新出现的安全威胁,当务之急是对依赖的事项加强管理并定期更新。
● 进行彻底的二进制审查,保障第三方组件的真实性和完整性,从而降低潜在风险。
● 实施持续监测和自动漏洞扫描,确保主动识别并修复安全漏洞。通过遵守这些关键注意事项,开发人员就能提高软件的可靠性和弹性,增强用户信心,保护整个数字生态系统。
将安全工具无缝集成到开发工作流中,能够带来变革性优势。通过采用整合平台,无需管理众多不同的工具,能够简化运营,提高效率并推动协作。这种方法不仅能加快解决问题的速度,还能通过最大限度地减少漏洞来加强安全性。面对不断变化的威胁,整合平台的方式具有战略上的必要性,赋能公司应对挑战,同时增强自身整体安全态势。
当开发人员穿行于开源软件的动态环境中时,有一条基本原则至关重要——安全必须渗透到软件供应链的方方面面。在软件开发生命周期的各个环节落实安全措施,就好比加固数字堡垒的城墙,防止入侵和漏洞。为实现更安全的未来,关键就在于拥有能够从一开始就扫描并阻止开源软件组件渗入软件供应链的强大工具。开发人员有责任在自身项目中优先考虑安全问题。他们利用所掌握的各种安全工具,就能创建一个创新与安全和谐共存的弹性生态系统。实现安全的开源代码不仅是一种责任,也证明了坚定的承诺——建立以协作、创新和安全为基础的数字环境。
Forrester总体经济影响研究报告显示,使用JFrog软件供应链平台可实现393%的投资回报率
JFrog携手Qwak打造安全的MLOps工作流,加速AI应用程序批量化交付
上一篇:尼得科开发的电机产品被太阳诱电株式会社推出的充满一次电可骑行1000km的装有再生制动系统的电动助力自行车采用
下一篇:Microchip收购ADAS和数字驾驶舱连接先驱VSI Co. Ltd.扩大车联网市场领先地位CQ9传奇电子 CQ9电子CQ9传奇电子 CQ9电子CQ9电子
