現代應用開(kāi)發(fā)提升了速度，也加劇了安全風(fēng)險。開(kāi)發(fā)人員需要將安全納入到開(kāi)發(fā)流程。尤其是云原生網(wǎng)絡(luò )安全威脅形勢越來(lái)越嚴峻，安全必須在不中斷運行的情況下融入到開(kāi)發(fā)流程中。

　　新思科技(Synopsys， Nasdaq： SNPS)發(fā)布最新供應鏈安全調研報告。該報告由新思科技軟件質(zhì)量與安全部門(mén)委托技術(shù)研究公司Enterprise Strategy Group(ESG)執行，面向350名應用開(kāi)發(fā)、信息技術(shù)和網(wǎng)絡(luò )安全決策者進(jìn)行調研。該報告名為《一往無(wú)前：GitOps與安全左移 - 可擴展且以開(kāi)發(fā)者為中心的供應鏈安全解決方案》(Walking the Line： GitOps and Shift Left Security： Scalable， Developer-centric Supply Chain Security Solutions)，其指出軟件供應鏈風(fēng)險不限于開(kāi)源范圍。

　　針對 Log4Shell、SolarWinds 和Kaseya 等軟件供應鏈攻擊，73%的受訪(fǎng)者表示，他們已通過(guò)各種安全舉措顯著(zhù)加大了對企業(yè)軟件供應鏈的保護力度。這些舉措包括采用強大的多因素身份驗證技術(shù) (33%)；投資應用安全測試措施(32%)； 以及改進(jìn)資產(chǎn)發(fā)現流程以更新攻擊面清單 (30%)。盡管做出了這些努力，但仍有 34%的企業(yè)指出，他們的應用在過(guò)去 12 個(gè)月內因開(kāi)源軟件(OSS)中的已知漏洞而被利用，其中28%的企業(yè)在開(kāi)源軟件中發(fā)現之前未知的漏洞（"零日"漏洞利用攻擊）。

　　隨著(zhù)使用規模增加，開(kāi)源軟件在應用程序中的存在自然也會(huì )增加。當前，軟件物料清單 (SBOM)是解決軟件供應鏈風(fēng)險管理燃眉之急的重要途經(jīng)。開(kāi)源軟件使用量激增，而開(kāi)源管理乏善可陳，這使得制作SBOM變得復雜。ESG公司研究也證實(shí)了這一點(diǎn)： 39%的受訪(fǎng)者將SBOM標記為使用開(kāi)源軟件的挑戰。

　　新思科技軟件質(zhì)量與安全部門(mén)總經(jīng)理Jason Schmitt表示："近年來(lái)，供應鏈安全漏洞、攻擊的新聞頻發(fā)。企業(yè)意識到這對他們的業(yè)務(wù)會(huì )產(chǎn)生潛在的負面影響。采取主動(dòng)安全策略已經(jīng)成為企業(yè)的當務(wù)之急。雖然管理開(kāi)源風(fēng)險是管理云原生應用中軟件供應鏈風(fēng)險的關(guān)鍵組成部分，但我們還必須認識到風(fēng)險是超出了開(kāi)源組件范圍的。基礎設施即代碼、容器、API、代碼存儲庫等，不勝枚舉。企業(yè)必須考慮所有因素，以進(jìn)行全面部署，確保軟件供應鏈安全。"

　　雖然開(kāi)源軟件可能是最初的供應鏈安全關(guān)注點(diǎn)，但向云原生應用開(kāi)發(fā)的轉變讓企業(yè)擔心對供應鏈的其它環(huán)節會(huì )構成的風(fēng)險。這不僅包括源代碼，還包括云原生應用如何存儲、打包和部署，以及它們如何通過(guò)應用程序編程接口 (API) 互聯(lián)。近一半 (45%) 的受訪(fǎng)者認為API以及數據存儲庫 (42%) 和應用容器鏡像 (34%)是最容易受到攻擊的載體。

　　幾乎所有(99%)的受訪(fǎng)者表示，他們的企業(yè)目前使用或計劃在未來(lái)12個(gè)月內使用開(kāi)源軟件。盡管對這些開(kāi)源項目的維護、安全性和可信性存在擔憂(yōu)，但最受關(guān)注的問(wèn)題與在應用開(kāi)發(fā)中使用開(kāi)源的規模有關(guān)。 54%的企業(yè)將"擁有高比例的開(kāi)源應用代碼"列為他們的主要關(guān)注點(diǎn)。

　　新思科技網(wǎng)絡(luò )安全研究中心首席安全策略師Tim Mackey表示："憑借SBOM，軟件運營(yíng)商可以了解應用中包含哪些第三方軟件生產(chǎn)商，無(wú)論是來(lái)自開(kāi)源、商業(yè)還是簽約的第三方。在設計補丁管理流程時(shí)，這些信息至關(guān)重要。因為沒(méi)有這些信息，對任何應用中存在的軟件風(fēng)險的觀(guān)察都不全面，無(wú)論其來(lái)源如何。有了這些信息，一旦 Log4Shell 出現下一個(gè)零日漏洞（這會(huì )發(fā)生），企業(yè)將能夠快速有效地采取行動(dòng)，抵御針對第三方軟件組件的攻擊。"

　　調查結果還表明，盡管越來(lái)越多構建云原生應用的企業(yè)采取以開(kāi)發(fā)人員為中心的安全策略和安全"左移"（一個(gè)專(zhuān)注于使開(kāi)發(fā)人員能夠在開(kāi)發(fā)生命周期早期進(jìn)行安全測試的概念），但 97% 的企業(yè)在過(guò)去 12 個(gè)月內遭遇過(guò)涉及其云原生應用的安全事件。

　　更快的發(fā)布周期也給所有團隊帶來(lái)了安全挑戰：應用開(kāi)發(fā)(41%)和DevOps(45%)團隊允許開(kāi)發(fā)人員經(jīng)常跳過(guò)已建立的安全流程；而且大多數應用開(kāi)發(fā)人員(55%)允許安全團隊缺乏對開(kāi)發(fā)流程的可見(jiàn)性。 68%的受訪(fǎng)者表示，他們高度重視采用以開(kāi)發(fā)人員為中心的安全解決方案，并將部分安全責任轉移給開(kāi)發(fā)人員。目前負責應用安全測試的開(kāi)發(fā)人員 (45%)多于安全團隊 (40%)。開(kāi)發(fā)人員使用內部開(kāi)發(fā)或開(kāi)源安全工具的可能性是專(zhuān)門(mén)的第三方供應商的兩倍。

　　與此同時(shí)，開(kāi)發(fā)人員在保護云原生應用的軟件供應鏈方面發(fā)揮著(zhù)更大的作用，但只有36%的安全團隊完全接受由開(kāi)發(fā)團隊負責安全測試。諸如使開(kāi)發(fā)團隊負擔過(guò)重的額外工具和責任、破壞創(chuàng )新和速度以及獲得對安全工作的監督權等問(wèn)題仍然是開(kāi)發(fā)人員主導的應用安全工作的最大障礙。

　　點(diǎn)擊這里下載報告《一往無(wú)前：GitOps與安全左移 - 可擴展且以開(kāi)發(fā)者為中心的供應鏈安全解決方案》。
https://www.synopsys.com/zh-cn/software-integrity/resources/analyst-reports/gitops-and-shift-left-security.html?cmp=pr-sig&utm_medium=referral