3. 解决供应链问题,满足IT安全需求
时间:2022-03-08 09:24:01 | 来源:行业动态
时间:2022-03-08 09:24:01 来源:行业动态
容器、微服务、编排等用于描述云原生应用程序开发方法的基本概念,其实也适用于当下精密无比、环环相扣的全球供应链体系。虽然细节有所区别,但供应链管理中的很多原则、特别是供应链安全问题,也同样适用于IT部门。
来自红帽的Haff表示:供应链的核心主题适用于一切领域,其中当然也包括软件、包括开源软件。
那么有多普适?足以让白宫在2021年5月发布关于网络安全的专项行政令。
如同其他供应链一样,IT供应链中的大多数软件都需要依赖其他软件进行构建、打包和部署。即使是拥有庞大开发团队的组织,也不可能万事从零开始亲手构建这压根没有可行性。
Haff指出:组织编写的大部分软件都依赖于其他外来软件,包括从互联网上直接下载到的软件。大部分代码当然没有恶意因素,但与所有软件一样,其中仍可能包含bug、或者已经过于陈旧。
软件供应链将成为2022年及之后IT安全中的关键领域。事实上,我们不妨将DevSecOps理解成一种从根本上建立安全供应链的范式。没错,这是一种新范式、而非传统的网络边界问题。正因为如此,受信容器注册表(例如Quay)和自动镜像扫描才会变得越来越受重视。
Haff提到,开源安全基金会(OpenSSF)等行业组织已经开始在宏观层面解决供应链问题,但IT专业人员也应将这种心态融入自己的组织当中。
软件供应链将成为2022年及之后IT安全中的关键领域。
Haff认为,IT领导者需要提高对安全问题的认知度,并在DevSecOps工作流程当中充分利用软件扫描与签名工具来缓解现实挑战。
Red Hat云与DevSecOps战略总监Kirsten Newcomer预计,供应链安全将成为2022年IT领导者及其团队的核心关注点。组织将意识到,单凭漏洞分析等现有方法已经不足以抵御潜在入侵。DevSecOps团队将扩展自身战略与工具链丰富度,全力保护供应链体系。
Newcomer指出,为此,Tekton CD链及Sigstore等新兴技术将在流程中逐渐铺开,降低组织在流程中添加签名的门槛。
事实上,Newcomer还尝试将另一个传统概念引入IT领域:软件材料清单(SBOM)。
Newcomer表示,关于交付SBOM的提议标准已经初步成型,但出于对供应链安全的担忧,我们现在必须加快步伐、确保所有组织都能理解该如何整理并提交软件材料清单。Newcomer同时补充称,业内即将对静态与动态BOM问题展开广泛讨论。
所谓动态,自然需要涵盖不断变化的信息,例如漏洞数据。换句话说,软件包本身并没有改变,但其运行所依赖的其他软件也可能曝出新的漏洞。
Newcomer指出,与之相关,围绕SBOM及相关包元数据的自动化方案也将爆发式增长。
在线咨询
