加入星計(jì)劃,您可以享受以下權(quán)益:

  • 創(chuàng)作內(nèi)容快速變現(xiàn)
  • 行業(yè)影響力擴(kuò)散
  • 作品版權(quán)保護(hù)
  • 300W+ 專業(yè)用戶
  • 1.5W+ 優(yōu)質(zhì)創(chuàng)作者
  • 5000+ 長期合作伙伴
立即加入
  • 正文
  • 推薦器件
  • 相關(guān)推薦
  • 電子產(chǎn)業(yè)圖譜
申請入駐 產(chǎn)業(yè)圖譜

艾體寶方案 | 管理開源軟件包更新,提升開源安全性

06/13 07:20
572
閱讀需 9 分鐘
加入交流群
掃碼加入
獲取工程師必備禮包
參與熱點(diǎn)資訊討論

摘要: 文章介紹了Mend.io如何通過其Smart Merge Control功能增強(qiáng)開源軟件的安全性。現(xiàn)代應(yīng)用程序高度依賴開源軟件,但這也增加了潛在的安全漏洞。Mend SCA的增強(qiáng)功能允許開發(fā)者基于“合并信心”值來管理更新,這個(gè)值反映了Mend.io對特定更新能夠成功合并到應(yīng)用程序的信心。這個(gè)信心值是通過監(jiān)測大量開發(fā)者使用Mend Renovate(一個(gè)自動(dòng)化依賴更新工具)時(shí)的拉取請求成功情況來眾包的。Smart Merge Control使得開發(fā)者能夠基于更新的可靠性來選擇是否接受更新,從而簡化了依賴管理過程,提高了應(yīng)用程序的安全性。

簡介: Mend.io的Smart Merge Control功能通過自動(dòng)化和眾包的方式,幫助開發(fā)者更有信心地管理開源軟件的依賴更新,從而提升應(yīng)用程序的安全性。這一創(chuàng)新工具利用Mend Renovate的大量數(shù)據(jù),為開發(fā)者提供了一個(gè)基于合并成功率的信心評分系統(tǒng),使得依賴更新過程更加高效和可靠。

現(xiàn)代應(yīng)用程序在很大程度上依賴于開源軟件,大多數(shù)企業(yè) 80% 的應(yīng)用程序和代碼庫都是開源的,在某些情況下甚至更多。雖然這對快速開發(fā)和創(chuàng)新有很大好處,但也增加了別有用心之人利用漏洞的可能性,擴(kuò)大了潛在的攻擊面。

這些代碼庫中大量使用了開源組件,為了維護(hù)應(yīng)用程序的穩(wěn)健安全,開發(fā)人員和安全團(tuán)隊(duì)必須與快速更新的代碼庫保持同步——但他們?nèi)绾尾拍艽_信自己做到了這一點(diǎn)呢?現(xiàn)在,Mend.io 有了答案,Mend SCA 的增強(qiáng)功能讓您可以享受完全自動(dòng)化的開源軟件包更新流程,并對這些更新的成功率充滿信心。

一、挑戰(zhàn)

1、過時(shí)依賴項(xiàng)埋伏安全隱患

開發(fā)人員和安全專業(yè)人員都認(rèn)為,如果使用最新的依賴項(xiàng),應(yīng)用程序就會(huì)更加安全,但說起來容易做起來難。部分原因是依賴項(xiàng)越來越多,更新也越來越頻繁,而且這種趨勢沒有逆轉(zhuǎn)的跡象。隨著依賴項(xiàng)和潛在更新數(shù)量的激增,人工檢查的方法越來越行不通,需要進(jìn)行 "分流",而這種 "分流 "會(huì)忽略許多更新,并以過時(shí)依賴項(xiàng)的形式開始積累安全隱患。

自動(dòng)化測試和修復(fù)對于緩解這個(gè)問題大有幫助。像 Mend Renovate 機(jī)器人這樣的工具開創(chuàng)了“依賴自動(dòng)化”時(shí)代,并已被許多高性能開發(fā)團(tuán)隊(duì)采用。然而,即使實(shí)現(xiàn)了項(xiàng)目級自動(dòng)化,保持最新狀態(tài)仍然需要開發(fā)人員花費(fèi)大量時(shí)間。項(xiàng)目團(tuán)隊(duì)缺乏強(qiáng)大的測試套件,可能會(huì)對更新依賴項(xiàng)感到不確定,因此與其他團(tuán)隊(duì)相比變得越來越過時(shí)。

2、手動(dòng)測試和部署效率低

此外,大多數(shù)應(yīng)用程序的測試水平不足以依賴自動(dòng)測試和部署。即使有,大多數(shù)公司也不會(huì)測試外部依賴項(xiàng)的內(nèi)部運(yùn)行問題。因此,很難相信外部依賴項(xiàng)的更新是否會(huì)破壞應(yīng)用程序。這就導(dǎo)致了需要手動(dòng)測試,增加了開發(fā)人員的開銷,并減慢了更新依賴關(guān)系的進(jìn)程。
Renovate 可生成大量更新,要手動(dòng)測試和部署所有更新可能會(huì)讓人不知所措?,F(xiàn)有的分組機(jī)制可以提供幫助,但無法消除不信任更新的問題,因?yàn)椴恍湃胃聲?huì)導(dǎo)致整組更新失效。

因此,項(xiàng)目往往會(huì)因?yàn)閷?xiàng)目測試缺乏信心和缺乏審查更新的資源而導(dǎo)致依賴性更新滯后,這樣一來,未來出現(xiàn)安全問題的風(fēng)險(xiǎn)就會(huì)增加。

二、需求

因此,當(dāng)下的改進(jìn)方向顯然是簡化和加速更新依賴關(guān)系的流程。它必須易于使用,且必須使開發(fā)人員能夠接受更新并盡可能快速、輕松地應(yīng)用有價(jià)值的安全問題修復(fù)程序,從而使他們的工作更加高效。這樣的解決方案將提升應(yīng)用程序的安全狀況,因?yàn)樗鼘ⅲ?/p>

  • 為已采用依賴自動(dòng)化的項(xiàng)目節(jié)省大量時(shí)間和資源
  • 降低其他項(xiàng)目采用依賴自動(dòng)化的門檻
  • 讓你了解最新的依賴關(guān)系,這是做好準(zhǔn)備應(yīng)對開源安全漏洞的最佳方式

三、解決方案—Mend SCA 智能合并控制功能

Mend SCA 現(xiàn)在允許開發(fā)人員根據(jù) "合并信心 "值管理更新,從而解決了這些問題。"合并信心 "值表示 Mend.io 對給定更新在不破壞構(gòu)建的情況下合并到應(yīng)用程序的信心。

這個(gè)置信度值是從大量使用 Mend Renovate(世界上最流行的自動(dòng)依賴關(guān)系更新機(jī)器人)的開發(fā)者那里獲得的,是通過監(jiān)控包含每個(gè)特定更新的拉取請求的成功率生成的。這樣做的目的是,從統(tǒng)計(jì)學(xué)角度看,一個(gè)不當(dāng)更新會(huì)導(dǎo)致相當(dāng)數(shù)量的項(xiàng)目失敗,而 Mend.io 可以將該更新標(biāo)記為 "低 "置信度。多次合并成功的更新將產(chǎn)生 "高 "或 "非常高 "的合并置信度。而那些比較新的更新,或者我們沒有足夠信心數(shù)據(jù)的更新,則會(huì)被標(biāo)記為 "中性"。隨著時(shí)間的推移,收集到的數(shù)據(jù)會(huì)越來越多,置信度也會(huì)從 "中性 "逐漸過渡到 "低"、"高 "或 "非常高"。

四、智能合并控制的優(yōu)勢

MCW 增強(qiáng)功能使開源軟件包更容易保持最新。這對開發(fā)人員來說意義重大,因?yàn)樗麄兛梢岳?Mend.io 的合并可信度評分來減少保持最新所需的工作量。即使是一個(gè)小型應(yīng)用程序,也很容易使用大量需要定期更新的開源依賴項(xiàng)。如果不了解更新是否可信,就必須對每次更新進(jìn)行測試。使用智能合并控制功能,開發(fā)人員可以篩選出最可信的更新并自動(dòng)應(yīng)用。這大大減輕了開發(fā)人員為其應(yīng)用程序保持良好的依賴關(guān)系健康狀況的負(fù)擔(dān)。

從安全角度看,它是打擊黑客的另一種工具。MCW 使依賴程序更容易接受更新,從而使應(yīng)用程序更頻繁地獲得安全修復(fù),隨著更新采用率的提高,應(yīng)用程序也將變得更加安全。這也意味著更新會(huì)更快地被應(yīng)用,因此攻擊者利用每個(gè)已發(fā)現(xiàn)漏洞的時(shí)間就會(huì)更短。此外,技術(shù)債務(wù)的減少意味著安全管理人員將更有信心,相信開發(fā)人員能夠?qū)ξ磥砜赡馨l(fā)生的任何緊急漏洞公告做出快速反應(yīng),而不會(huì)破壞他們的應(yīng)用程序。

MCW 為用戶帶來的主要利益:

五、MCW 將 Mend SCA 自動(dòng)依賴性更新提升到新水平

幾年來,Mend SCA 一直是開源安全的黃金標(biāo)準(zhǔn)。我們的主要工作是檢測漏洞,并幫助開發(fā)人員高效地修復(fù)漏洞。近年來,我們率先推出了自動(dòng)拉取請求、提交時(shí)掃描、可達(dá)性路徑分析等功能。我們與 DevOps 工具鏈(也稱為 DevSecOps)的集成能力為我們贏得了許多大客戶的青睞。最近,我們發(fā)布的研究報(bào)告顯示,將 Mend SCA 與其代碼庫集成的客戶,其平均修復(fù)時(shí)間(MTTR)縮短了 74%,在任何給定時(shí)間內(nèi)修復(fù)的漏洞數(shù)量增加了三倍。

現(xiàn)在,我們在 Mend SCA 中增加了自動(dòng)依賴性工作流,從而提高了軟件構(gòu)成分析的標(biāo)準(zhǔn)。我們相信,盡管許多依賴關(guān)系更新與漏洞管理并無具體關(guān)系,但這將帶來巨大的安全價(jià)值。

開發(fā)人員越容易更新其應(yīng)用程序中的依賴關(guān)系,應(yīng)用程序就會(huì)收到越多的更新,因組件過時(shí)而積累的安全隱患也就越少。自動(dòng)化緩解了對耗時(shí)和繁瑣的人工依賴性測試的依賴。

Mend SCA 現(xiàn)在提供了一套豐富的功能,允許開發(fā)人員配置更新的交付方式,幫助他們管理維護(hù)依賴關(guān)系健康這一原本艱巨的任務(wù)。

推薦器件

更多器件
器件型號 數(shù)量 器件廠商 器件描述 數(shù)據(jù)手冊 ECAD模型 風(fēng)險(xiǎn)等級 參考價(jià)格 更多信息
BTA24-600BWRG 1 STMicroelectronics 25A Snubberless™ Triacs

ECAD模型

下載ECAD模型
$3.29 查看
TTL-232R-3V3 1 FTDI Chip Cable Assembly, 24AWG, Communication Cable
$33.76 查看
P1553ABLRP 1 Littelfuse Inc Silicon Surge Protector, 180V V(BO) Max, 25A, MODIFIED TO-220, 3 PIN
暫無數(shù)據(jù) 查看

相關(guān)推薦

電子產(chǎn)業(yè)圖譜

虹科是一家資源整合及技術(shù)服務(wù)落地供應(yīng)商,與全球頂尖公司深度技術(shù)合作,專注于制造業(yè)、汽車、生物、醫(yī)藥、測試與測量、廣播電視與媒體、通信、網(wǎng)絡(luò)安全、光電等領(lǐng)域,為客戶提供:智能自動(dòng)化、工業(yè)物聯(lián)網(wǎng)、智能感知、數(shù)字化+AR、光電、網(wǎng)絡(luò)安全、測試測量、衛(wèi)星與無線通信、醫(yī)藥環(huán)境監(jiān)測與驗(yàn)證、生命科學(xué)、汽車電子、汽車維修診斷、云科技等解決方案。虹科始終致力于為行業(yè)客戶提供創(chuàng)新及前端的產(chǎn)品和技術(shù)解決方案,為科技社會(huì)發(fā)展助力加碼。