摘要: 文章介紹了Mend.io如何通過其Smart Merge Control功能增強(qiáng)開源軟件的安全性。現(xiàn)代應(yīng)用程序高度依賴開源軟件,但這也增加了潛在的安全漏洞。Mend SCA的增強(qiáng)功能允許開發(fā)者基于“合并信心”值來管理更新,這個(gè)值反映了Mend.io對特定更新能夠成功合并到應(yīng)用程序的信心。這個(gè)信心值是通過監(jiān)測大量開發(fā)者使用Mend Renovate(一個(gè)自動(dòng)化依賴更新工具)時(shí)的拉取請求成功情況來眾包的。Smart Merge Control使得開發(fā)者能夠基于更新的可靠性來選擇是否接受更新,從而簡化了依賴管理過程,提高了應(yīng)用程序的安全性。
簡介: Mend.io的Smart Merge Control功能通過自動(dòng)化和眾包的方式,幫助開發(fā)者更有信心地管理開源軟件的依賴更新,從而提升應(yīng)用程序的安全性。這一創(chuàng)新工具利用Mend Renovate的大量數(shù)據(jù),為開發(fā)者提供了一個(gè)基于合并成功率的信心評分系統(tǒng),使得依賴更新過程更加高效和可靠。
現(xiàn)代應(yīng)用程序在很大程度上依賴于開源軟件,大多數(shù)企業(yè) 80% 的應(yīng)用程序和代碼庫都是開源的,在某些情況下甚至更多。雖然這對快速開發(fā)和創(chuàng)新有很大好處,但也增加了別有用心之人利用漏洞的可能性,擴(kuò)大了潛在的攻擊面。
這些代碼庫中大量使用了開源組件,為了維護(hù)應(yīng)用程序的穩(wěn)健安全,開發(fā)人員和安全團(tuán)隊(duì)必須與快速更新的代碼庫保持同步——但他們?nèi)绾尾拍艽_信自己做到了這一點(diǎn)呢?現(xiàn)在,Mend.io 有了答案,Mend SCA 的增強(qiáng)功能讓您可以享受完全自動(dòng)化的開源軟件包更新流程,并對這些更新的成功率充滿信心。
一、挑戰(zhàn)
1、過時(shí)依賴項(xiàng)埋伏安全隱患
開發(fā)人員和安全專業(yè)人員都認(rèn)為,如果使用最新的依賴項(xiàng),應(yīng)用程序就會(huì)更加安全,但說起來容易做起來難。部分原因是依賴項(xiàng)越來越多,更新也越來越頻繁,而且這種趨勢沒有逆轉(zhuǎn)的跡象。隨著依賴項(xiàng)和潛在更新數(shù)量的激增,人工檢查的方法越來越行不通,需要進(jìn)行 "分流",而這種 "分流 "會(huì)忽略許多更新,并以過時(shí)依賴項(xiàng)的形式開始積累安全隱患。
自動(dòng)化測試和修復(fù)對于緩解這個(gè)問題大有幫助。像 Mend Renovate 機(jī)器人這樣的工具開創(chuàng)了“依賴自動(dòng)化”時(shí)代,并已被許多高性能開發(fā)團(tuán)隊(duì)采用。然而,即使實(shí)現(xiàn)了項(xiàng)目級自動(dòng)化,保持最新狀態(tài)仍然需要開發(fā)人員花費(fèi)大量時(shí)間。項(xiàng)目團(tuán)隊(duì)缺乏強(qiáng)大的測試套件,可能會(huì)對更新依賴項(xiàng)感到不確定,因此與其他團(tuán)隊(duì)相比變得越來越過時(shí)。
2、手動(dòng)測試和部署效率低
此外,大多數(shù)應(yīng)用程序的測試水平不足以依賴自動(dòng)測試和部署。即使有,大多數(shù)公司也不會(huì)測試外部依賴項(xiàng)的內(nèi)部運(yùn)行問題。因此,很難相信外部依賴項(xiàng)的更新是否會(huì)破壞應(yīng)用程序。這就導(dǎo)致了需要手動(dòng)測試,增加了開發(fā)人員的開銷,并減慢了更新依賴關(guān)系的進(jìn)程。
Renovate 可生成大量更新,要手動(dòng)測試和部署所有更新可能會(huì)讓人不知所措?,F(xiàn)有的分組機(jī)制可以提供幫助,但無法消除不信任更新的問題,因?yàn)椴恍湃胃聲?huì)導(dǎo)致整組更新失效。
因此,項(xiàng)目往往會(huì)因?yàn)閷?xiàng)目測試缺乏信心和缺乏審查更新的資源而導(dǎo)致依賴性更新滯后,這樣一來,未來出現(xiàn)安全問題的風(fēng)險(xiǎn)就會(huì)增加。
二、需求
因此,當(dāng)下的改進(jìn)方向顯然是簡化和加速更新依賴關(guān)系的流程。它必須易于使用,且必須使開發(fā)人員能夠接受更新并盡可能快速、輕松地應(yīng)用有價(jià)值的安全問題修復(fù)程序,從而使他們的工作更加高效。這樣的解決方案將提升應(yīng)用程序的安全狀況,因?yàn)樗鼘ⅲ?/p>
- 為已采用依賴自動(dòng)化的項(xiàng)目節(jié)省大量時(shí)間和資源
- 降低其他項(xiàng)目采用依賴自動(dòng)化的門檻
- 讓你了解最新的依賴關(guān)系,這是做好準(zhǔn)備應(yīng)對開源安全漏洞的最佳方式
三、解決方案—Mend SCA 智能合并控制功能
Mend SCA 現(xiàn)在允許開發(fā)人員根據(jù) "合并信心 "值管理更新,從而解決了這些問題。"合并信心 "值表示 Mend.io 對給定更新在不破壞構(gòu)建的情況下合并到應(yīng)用程序的信心。
這個(gè)置信度值是從大量使用 Mend Renovate(世界上最流行的自動(dòng)依賴關(guān)系更新機(jī)器人)的開發(fā)者那里獲得的,是通過監(jiān)控包含每個(gè)特定更新的拉取請求的成功率生成的。這樣做的目的是,從統(tǒng)計(jì)學(xué)角度看,一個(gè)不當(dāng)更新會(huì)導(dǎo)致相當(dāng)數(shù)量的項(xiàng)目失敗,而 Mend.io 可以將該更新標(biāo)記為 "低 "置信度。多次合并成功的更新將產(chǎn)生 "高 "或 "非常高 "的合并置信度。而那些比較新的更新,或者我們沒有足夠信心數(shù)據(jù)的更新,則會(huì)被標(biāo)記為 "中性"。隨著時(shí)間的推移,收集到的數(shù)據(jù)會(huì)越來越多,置信度也會(huì)從 "中性 "逐漸過渡到 "低"、"高 "或 "非常高"。
四、智能合并控制的優(yōu)勢
MCW 增強(qiáng)功能使開源軟件包更容易保持最新。這對開發(fā)人員來說意義重大,因?yàn)樗麄兛梢岳?Mend.io 的合并可信度評分來減少保持最新所需的工作量。即使是一個(gè)小型應(yīng)用程序,也很容易使用大量需要定期更新的開源依賴項(xiàng)。如果不了解更新是否可信,就必須對每次更新進(jìn)行測試。使用智能合并控制功能,開發(fā)人員可以篩選出最可信的更新并自動(dòng)應(yīng)用。這大大減輕了開發(fā)人員為其應(yīng)用程序保持良好的依賴關(guān)系健康狀況的負(fù)擔(dān)。
從安全角度看,它是打擊黑客的另一種工具。MCW 使依賴程序更容易接受更新,從而使應(yīng)用程序更頻繁地獲得安全修復(fù),隨著更新采用率的提高,應(yīng)用程序也將變得更加安全。這也意味著更新會(huì)更快地被應(yīng)用,因此攻擊者利用每個(gè)已發(fā)現(xiàn)漏洞的時(shí)間就會(huì)更短。此外,技術(shù)債務(wù)的減少意味著安全管理人員將更有信心,相信開發(fā)人員能夠?qū)ξ磥砜赡馨l(fā)生的任何緊急漏洞公告做出快速反應(yīng),而不會(huì)破壞他們的應(yīng)用程序。
MCW 為用戶帶來的主要利益:
五、MCW 將 Mend SCA 自動(dòng)依賴性更新提升到新水平
幾年來,Mend SCA 一直是開源安全的黃金標(biāo)準(zhǔn)。我們的主要工作是檢測漏洞,并幫助開發(fā)人員高效地修復(fù)漏洞。近年來,我們率先推出了自動(dòng)拉取請求、提交時(shí)掃描、可達(dá)性路徑分析等功能。我們與 DevOps 工具鏈(也稱為 DevSecOps)的集成能力為我們贏得了許多大客戶的青睞。最近,我們發(fā)布的研究報(bào)告顯示,將 Mend SCA 與其代碼庫集成的客戶,其平均修復(fù)時(shí)間(MTTR)縮短了 74%,在任何給定時(shí)間內(nèi)修復(fù)的漏洞數(shù)量增加了三倍。
現(xiàn)在,我們在 Mend SCA 中增加了自動(dòng)依賴性工作流,從而提高了軟件構(gòu)成分析的標(biāo)準(zhǔn)。我們相信,盡管許多依賴關(guān)系更新與漏洞管理并無具體關(guān)系,但這將帶來巨大的安全價(jià)值。
開發(fā)人員越容易更新其應(yīng)用程序中的依賴關(guān)系,應(yīng)用程序就會(huì)收到越多的更新,因組件過時(shí)而積累的安全隱患也就越少。自動(dòng)化緩解了對耗時(shí)和繁瑣的人工依賴性測試的依賴。
Mend SCA 現(xiàn)在提供了一套豐富的功能,允許開發(fā)人員配置更新的交付方式,幫助他們管理維護(hù)依賴關(guān)系健康這一原本艱巨的任務(wù)。