Как упоминалось в верхней статье, многие предприятия уязвимы при возникновении ошибки и даже не знают, для чего используется их система.
Многие люди могут подумать: «Мы уже выполнили DevOps, CI/CD работает очень хорошо, и у нас должны возникнуть проблемы».
但可一个电影我问过many People: «你們使电影电影设计,以人看吗?»
少少沉默了意星,说:”可以……没人看。”
Этот диалог я переживал слишком много раз.
Ответ: DevOps очень важен.
Используйте DevOps.
За последние 10 лет DevOps полностью изменил способ доставки программного обеспечения.
DevOps решает проблему «эффективности производительности»
- Коды не могут быть скомпилированы?
- 那像能不可情件发布?
- 服务安全最好全安全不可以?
Их можно автоматизировать.
Но есть одна проблема, которая естественно не касается:Какие компоненты в итоге?
流水线不是问你:
- В базовом зеркале этого зеркала нет лазейки?
- Приложение зависит от какой-то библиотеки, автор еще не ушел?
- 这是设计的License合不合载,会不使电影你开源安全在线?
DevOps — это решение вопроса «как доставлять».
DevOps — самый опасный
Я видел так много предприятий, CI/CD работает так хорошо, но команда безопасности — это одно целое: «ваши системы используются, а какие из них — компоненты с открытым исходным кодом»
почему?
Поскольку DevOps является потоком, ссылка «управление программными компонентами» отсутствует.
Вы представили новый компонент, который поможет вам создавать, тестировать и развертывать.
- Есть ли у этого компонента известные уязвимости?
- Лицензия 合不合载?会会使电影你开源КОДЫ?
- 上游这个设计吗? Риска отравления нет?
На эти вопросы DevOps не отвечает.
Я видел три типичных примера
Тип: CI/CD
Эта ошибка является самой распространенной.
Практика многих предприятий такова: добавьте этап защитного сканирования в линию подачи воды, автоматически сканируйте ее каждый раз, когда она строится, и о проблеме будет сообщено. Звучит идеально?
Что такое реальность?
Я видел клиента, каждый раз, когда я его строю, я его сканирую. 200+ ошибок。 Команда разработчиков 看一眼,这个”天天了,全用电影最来来”, а что вы сделали?Сообщите мне.
Инструмент все еще работает.
Результаты сканирования, отчет об ошибках, отчет об ошибках, одна вещь:Игнорируйте все.
инструмент ≠ план。 Сканирование потока проекта не производится, создается только шум.
错觉二:Использованный образ Docker,就安全了
Контейнеризация действительно решает многие проблемы, но она также создает новые белые пятна.
Я видел реальный случай: какое-то предприятие использует node:14 в качестве основы зеркального изображения, которое работало полгода. Позже сканирование безопасности выявило в зеркальном изображении уязвимость высокого риска OpenSSL, и ее пришлось временно остановить для ее устранения, а потери для бизнеса были немалыми.
проблема?
- Само базовое зеркальное отображение может содержать компонент ошибки.
- Зависимая версия зеркального изображения является экспресс-фотографией на данный момент и не будет обновляться автоматически.
- Вы думаете, что «镜像安全» равно «прикладной безопасности», на самом деле это два раза
В контейнере есть только проблема, но он не решает проблему.
错觉三: 有包管理工作, 就如了
“Нажмите npm/Maven/go mod, выберите package.json/pom.xml/go.mod 里, в чем проблема?”
Проблема в том, что эти документы только записываютсянапрямую зависимый。
电影电影呢?电影的电影呢?
Можно включить типичное приложение Node.js. 几百个косвенно зависимый,这是被你是电影的这些带进来,你可以下一篇的了件。而这些的这些的这些,可付是重美学的重美区。
Что еще более важно, инструмент управления пакетами не сообщит вам:
- Какая лицензия?
Вы знаете, какой пакет вы установили, но не знаете, какой пакет вы установили в итоге.
Общая основа этих проблем
Если абстрагировать эти три ошибки вместе, вы обнаружите общую точку:
DevOps хорош для повышения эффективности доставки, но, естественно, не несет ответственности.программное обеспечение для управления。
Ваш CI/CD можно сделать за один день релиза 11 раз, но если никто не знает, какие компоненты в этот релиз введены, какие риски, ваша система всё равно под контролем.
Одна из самых неприятных ловушек
Скажем, сцену, которую я лично пережил.
Определенный банковский проект получает 合车思乐,总乐人问问问题设计: “我们安全安全下载设计安全官方? Нет списка?”
Команда разработчиков сталкивается с лицом. CI/CD работал уже несколько лет, код находился в итерации, но ни разу не был записан в человеческой системе.
Что делать в конце? несколько человек потратили три дня, вручную разбирая список из списка, который не является временным?
合载不是”二定就行”, 事”能电影你就行”.
Итак, проблема в том, что это 出在哪?
Вернемся к вопросу: Почему DevOps работает?
Ответ очень прост:DevOps дал вам «эффективность», а не «контроль».
Для управления открытым исходным кодом требуется как минимум трехуровневая возможность:
- Первый слой: видимый—— вы знаете систему 里用了了了, каковы риски
- Второй уровень: контроль—— 这是管住最作总用、这些事总是生活
- Третий уровень: способность принимать решения.—— вы знаете, что вам не нужно, какое вы хотите и когда хотите это изменить
SBOM решает первый уровеньконтролирующая сила。
Что такое контролирующая сила?
DevOps не для вас.
предварительный просмотр 下篇
Многие думают, что СБОМ — это «список», на самом деле все не так просто. Различные методы генерации, точность, охват и сценарии применения не одинаковы.
Из-за проблемы многих предприятий не «нашли лазейку», а:
Я не знаю, что происходит в моей системе.
下一篇, 我们来聊聊SBOM.
About the Author
