3. 解決供應鏈問題，滿足IT安全需求

時間：2022-03-08 09:24:01 | 來源：行業(yè)動態(tài)

時間：2022-03-08 09:24:01 來源：行業(yè)動態(tài)

容器、微服務(wù)、編排等用于描述云原生應用程序開發(fā)方法的基本概念，其實也適用于當下精密無比、環(huán)環(huán)相扣的全球供應鏈體系。雖然細節(jié)有所區(qū)別，但供應鏈管理中的很多原則、特別是供應鏈安全問題，也同樣適用于IT部門。

來自紅帽的Haff表示：供應鏈的核心主題適用于一切領(lǐng)域，其中當然也包括軟件、包括開源軟件。

那么有多普適？足以讓白宮在2021年5月發(fā)布關(guān)于網(wǎng)絡(luò)安全的專項行政令。

如同其他供應鏈一樣，IT供應鏈中的大多數(shù)軟件都需要依賴其他軟件進行構(gòu)建、打包和部署。即使是擁有龐大開發(fā)團隊的組織，也不可能萬事從零開始親手構(gòu)建這壓根沒有可行性。

Haff指出：組織編寫的大部分軟件都依賴于其他外來軟件，包括從互聯(lián)網(wǎng)上直接下載到的軟件。大部分代碼當然沒有惡意因素，但與所有軟件一樣，其中仍可能包含bug、或者已經(jīng)過于陳舊。

軟件供應鏈將成為2022年及之后IT安全中的關(guān)鍵領(lǐng)域。事實上，我們不妨將DevSecOps理解成一種從根本上建立安全供應鏈的范式。沒錯，這是一種新范式、而非傳統(tǒng)的網(wǎng)絡(luò)邊界問題。正因為如此，受信容器注冊表（例如Quay）和自動鏡像掃描才會變得越來越受重視。

Haff提到，開源安全基金會（OpenSSF）等行業(yè)組織已經(jīng)開始在宏觀層面解決供應鏈問題，但IT專業(yè)人員也應將這種心態(tài)融入自己的組織當中。

軟件供應鏈將成為2022年及之后IT安全中的關(guān)鍵領(lǐng)域。

Haff認為，IT領(lǐng)導者需要提高對安全問題的認知度，并在DevSecOps工作流程當中充分利用軟件掃描與簽名工具來緩解現(xiàn)實挑戰(zhàn)。

Red Hat云與DevSecOps戰(zhàn)略總監(jiān)Kirsten Newcomer預計，供應鏈安全將成為2022年IT領(lǐng)導者及其團隊的核心關(guān)注點。組織將意識到，單憑漏洞分析等現(xiàn)有方法已經(jīng)不足以抵御潛在入侵。DevSecOps團隊將擴展自身戰(zhàn)略與工具鏈豐富度，全力保護供應鏈體系。

Newcomer指出，為此，Tekton CD鏈及Sigstore等新興技術(shù)將在流程中逐漸鋪開，降低組織在流程中添加簽名的門檻。

事實上，Newcomer還嘗試將另一個傳統(tǒng)概念引入IT領(lǐng)域：軟件材料清單（SBOM）。

Newcomer表示，關(guān)于交付SBOM的提議標準已經(jīng)初步成型，但出于對供應鏈安全的擔憂，我們現(xiàn)在必須加快步伐、確保所有組織都能理解該如何整理并提交軟件材料清單。Newcomer同時補充稱，業(yè)內(nèi)即將對靜態(tài)與動態(tài)BOM問題展開廣泛討論。

所謂動態(tài)，自然需要涵蓋不斷變化的信息，例如漏洞數(shù)據(jù)。換句話說，軟件包本身并沒有改變，但其運行所依賴的其他軟件也可能曝出新的漏洞。

Newcomer指出，與之相關(guān)，圍繞SBOM及相關(guān)包元數(shù)據(jù)的自動化方案也將爆發(fā)式增長。