自2020年12月SolarWinds 攻击以来,软件供应链攻击一直是软件开发公司关注的问题。受到攻击不仅会危及企业,还会危及相关客户。
另一个复杂因素是应用程序使用开放软件组件和本地代码的组合来交付应用程序。这种软件供应链意味着,应用程序的安全问题可能受到自己代码的影响,也可能会来自所使用的组件。
Log4j攻击就是组件在使用它的任何软件中引入漏洞的一个例子。如何保护软件需要从不同角度思考安全从哪里开始,以及如何在开发过程的早期将安全概念集成到软件中,并与其他技术基础的实施进行交互。
构建安全的管道
现代软件开发建立在 CI/CD 管道之上。这允许应用程序安全测试和软件成分分析在集成过程的早期进行(左移),并且允许企业在代码交付前识别并修复问题。通过管道运行代码、集成安全测试、识别缺陷、修复缺陷并部署安全的软件。
理论听起来很简单,但在现实中实施起来可能具有挑战性。首先,安全左移需要开发人员和安全团队之间的协作。
如果没有得到修复,找到安全问题并不重要。安全团队并不是将一份包含数百个缺陷和漏洞的报告丢给开发人员,并期望问题能得到解决。
相关影片资源迅雷下载推荐
零基础如何自制小程序?抖音小程序开发教程来袭!
零基础如何自制小程序?抖音小程序开发教程来袭!这几年里,小程序非常的火,除微信以外的平台例如抖音、头条都纷纷推出自己的小程序功能。小程序市场这么大的一块“蛋糕”,大家肯定都想来尝一尝,但是很多人都由于 ...
小程序开发,零基础如何自制小程序?抖音小程序开发教程来袭!
为了增加缺陷得到修复的可能性,安全团队需要向开发人员提供有关缺陷或漏洞的修复紧急程度,并对解决方案给出一些指导。
其次,安全性应该通过提供基础设施即代码 (IaC) 模板和工具链来增加开发和架构流程的价值,从而轻松实现安全的应用程序堆栈。
对抗供应链攻击
最后,通过对开发人员进行安全培训及在安全团队中培训开发人员,可以链接开发及安全之间的距离,也有助于减小安全开发的阻力。
考虑到软件的复杂性、代码的攻击面和开发过程的速度,对抗供应链攻击需要安全与开发团队紧密和持续的协作,并向左转移以在集成过程中更早地发现安全问题。
来源:
https://devops.com/devops-world-2022-developer-and-security-links-protect-your-supply-chain/
企业网站建设与开发最低只要299元起,包含域名服务器,需要的联系QQ345424724,电话15516990022,18530226930相关影片资源迅雷下载推荐
一文详解拼团活动模式及常见问题
编辑导语:拼团作为一种有效的营销方式和商业手段,在电商、商品和服务等消费场景得到了广泛应用,也受到了众多商家和用户的青睐。本文作者对拼团活动模式以及它的一些常见问题进行了介绍,一起来看一下吧。自2015年 ...
七人拼团,一文详解拼团活动模式及常见问题
标签: 软件开发 在开发过程中保护软件供应链安全
