对软件供应链的攻击可显著扩大恶意软件的潜在传播范围。例如,威胁行为者可以将恶意软件插入 Python 包索引 (PyPI) 存储库,从而暴露成千上万的软件开发团队,使其源代码受到威胁。
网络犯罪分子一直在寻找新的方法来发现漏洞并加以利用,将恶意软件嵌入 CI/CD 管道,并在构建模块中创建后门,最终危及基础设施基础和整个应用程序。如今,保护源代码和工件是软件开发团队希望确保其软件 生命周期(SDLC)安全的首要问题。
第三方风险:日益严重的问题
与第三方软件相关的风险是 IT 团队试图缓解的主要问题之一。这些风险与以下因素有关:在持续集成和持续交付(CI/CD)过程中越来越依赖第三方软件,以加快产品上市速度;依赖已有代码,如开放源码软件 (OSS)或其他软件发行商;以及缺乏验证流程。事实上,目前全球90% 的 IT 组织都在使用企业级开源软件。
过去几十年来,应用程序不断发展。我们已从传统的单体应用程序转向微服务架构。建立在微服务之上的现代应用程序使用 API 在应用程序之间进行通信。此外,不同的团队使用第三方库或开放源码软件来扩展或构建现有代码,以创建新的功能。所有这些都会导致更广泛的攻击面,使企业及其客户的数据面临风险。
由于当代软件开发涉及到 CI/CD,这就为他们的 SDLC 增加了更多的组件,这意味着有更多的数据岌岌可危。在更复杂的情况下,例如应用程序在容器、云平台或 Kubernetes 集群中运行时,可能会出现更多安全问题。
由于这些应用程序的复杂性和多层次性,大量组件需要安全保护。更糟糕的是,出现的安全问题越多,安全团队和专业人员就越有可能在应用交付过程中遇到瓶颈,并减缓 CI/CD 管道的速度。
DevOps 左移:在 SDLC 早期应用安全性
那么,团队如何在整个 SDLC 中管理和降低第三方风险呢?答案就是在 DevSecOps 工作流程的早期阶段就将安全性纳入其中。DevSecOps 方法使团队能够将安全纳入其 SDLC 或 CI/CD 管道的最初阶段。安全是端到端的嵌入,而不是让网络安全团队承担责任。在整个软件开发过程中,整个组织都有责任使用正确的安全叠加和审计工具来标记差距,以便采取纠正措施。
换句话说,DevSecOps 为自动化、更快的发布周期、更短的反馈周期以及及早预防安全漏洞提供了空间,这些漏洞可以尽早修复。
Secure 利用MetaDefender TeamCity 和 Jenkins 插件实现您的 CI/CD 管道
TeamCity 和 Jenkins 是 CI/CD 管道中使用的两种流行的构建自动化工具。
在MetaDefender 先进的网络安全预防和检测技术的支持下,OPSWAT用于 TeamCity 和 Jenkins 的MetaDefender 插件通过 30 多种领先的反病毒引擎帮助确保团队构建工件的安全。
MetaDefender TeamCity 插件
MetaDefender for TeamCity 可在您向公众发布应用程序之前,检查您的 TeamCity 构建是否存在恶意软件,并验证反病毒警报,以尽量减少误报。您可以快速扫描您的构建,不仅可以检测可能存在的威胁,还可以在任何反病毒引擎错误地将您的软件或应用程序标记为恶意软件,从而可能对您的声誉造成损害时发出警报。了解更多
MetaDefender Jenkins 插件
MetaDefender for Jenkins可在发布前扫描 Jenkins 构建,以查找恶意软件和机密。对您的源代码和工件进行彻底的威胁检查。您还可通过内置的自动故障保险丝获得任何潜在问题的警报,以防止恶意软件爆发和敏感数据泄漏。了解更多信息
了解 OPSWAT 提供 的其他免费网络安全工具。要了解更多信息,请与我们的关键基础设施网络安全专家联系。
