艾體寶方案 | 管理開(kāi)源軟件包更新，提升開(kāi)源安全性

現(xiàn)代應(yīng)用程序在很大程度上依賴于開(kāi)源軟件，大多數(shù)企業(yè) 80% 的應(yīng)用程序和代碼庫(kù)都是開(kāi)源的，在某些情況下甚至更多。雖然這對(duì)快速開(kāi)發(fā)和創(chuàng)新有很大好處，但也增加了別有用心之人利用漏洞的可能性，擴(kuò)大了潛在的攻擊面。
這些代碼庫(kù)中大量使用了開(kāi)源組件，為了維護(hù)應(yīng)用程序的穩(wěn)健安全，開(kāi)發(fā)人員和安全團(tuán)隊(duì)必須與快速更新的代碼庫(kù)保持同步——但他們?nèi)绾尾拍艽_信自己做到了這一點(diǎn)呢？現(xiàn)在，Mend.io 有了答案，Mend SCA 的增強(qiáng)功能讓您可以享受完全自動(dòng)化的開(kāi)源軟件包更新流程，并對(duì)這些更新的成功率充滿信心。
一、挑戰(zhàn)
1、過(guò)時(shí)依賴項(xiàng)埋伏安全隱患
開(kāi)發(fā)人員和安全專業(yè)人員都認(rèn)為，如果使用最新的依賴項(xiàng)，應(yīng)用程序就會(huì)更加安全，但說(shuō)起來(lái)容易做起來(lái)難。部分原因是依賴項(xiàng)越來(lái)越多，更新也越來(lái)越頻繁，而且這種趨勢(shì)沒(méi)有逆轉(zhuǎn)的跡象。隨著依賴項(xiàng)和潛在更新數(shù)量的激增，人工檢查的方法越來(lái)越行不通，需要進(jìn)行 "分流"，而這種 "分流 "會(huì)忽略許多更新，并以過(guò)時(shí)依賴項(xiàng)的形式開(kāi)始積累安全隱患。
自動(dòng)化測(cè)試和修復(fù)對(duì)于緩解這個(gè)問(wèn)題大有幫助。像 Mend Renovate 機(jī)器人這樣的工具開(kāi)創(chuàng)了“依賴自動(dòng)化”時(shí)代，并已被許多高性能開(kāi)發(fā)團(tuán)隊(duì)采用。然而，即使實(shí)現(xiàn)了項(xiàng)目級(jí)自動(dòng)化，保持最新?tīng)顟B(tài)仍然需要開(kāi)發(fā)人員花費(fèi)大量時(shí)間。項(xiàng)目團(tuán)隊(duì)缺乏強(qiáng)大的測(cè)試套件，可能會(huì)對(duì)更新依賴項(xiàng)感到不確定，因此與其他團(tuán)隊(duì)相比變得越來(lái)越過(guò)時(shí)。

2、手動(dòng)測(cè)試和部署效率低
此外，大多數(shù)應(yīng)用程序的測(cè)試水平不足以依賴自動(dòng)測(cè)試和部署。即使有，大多數(shù)公司也不會(huì)測(cè)試外部依賴項(xiàng)的內(nèi)部運(yùn)行問(wèn)題。因此，很難相信外部依賴項(xiàng)的更新是否會(huì)破壞應(yīng)用程序。這就導(dǎo)致了需要手動(dòng)測(cè)試，增加了開(kāi)發(fā)人員的開(kāi)銷，并減慢了更新依賴關(guān)系的進(jìn)程。
Renovate 可生成大量更新，要手動(dòng)測(cè)試和部署所有更新可能會(huì)讓人不知所措。現(xiàn)有的分組機(jī)制可以提供幫助，但無(wú)法消除不信任更新的問(wèn)題，因?yàn)椴恍湃胃聲?huì)導(dǎo)致整組更新失效。
因此，項(xiàng)目往往會(huì)因?yàn)閷?duì)項(xiàng)目測(cè)試缺乏信心和缺乏審查更新的資源而導(dǎo)致依賴性更新滯后，這樣一來(lái)，未來(lái)出現(xiàn)安全問(wèn)題的風(fēng)險(xiǎn)就會(huì)增加。
二、需求
因此，當(dāng)下的改進(jìn)方向顯然是簡(jiǎn)化和加速更新依賴關(guān)系的流程。它必須易于使用，且必須使開(kāi)發(fā)人員能夠接受更新并盡可能快速、輕松地應(yīng)用有價(jià)值的安全問(wèn)題修復(fù)程序，從而使他們的工作更加高效。這樣的解決方案將提升應(yīng)用程序的安全狀況，因?yàn)樗鼘ⅲ?br /> ?為已采用依賴自動(dòng)化的項(xiàng)目節(jié)省大量時(shí)間和資源
?降低其他項(xiàng)目采用依賴自動(dòng)化的門檻
?讓你了解最新的依賴關(guān)系，這是做好準(zhǔn)備應(yīng)對(duì)開(kāi)源安全漏洞的最佳方式

三、解決方案—Mend SCA 智能合并控制功能
Mend SCA 現(xiàn)在允許開(kāi)發(fā)人員根據(jù) "合并信心 "值管理更新，從而解決了這些問(wèn)題。"合并信心 "值表示 Mend.io 對(duì)給定更新在不破壞構(gòu)建的情況下合并到應(yīng)用程序的信心。

這個(gè)置信度值是從大量使用 Mend Renovate（世界上最流行的自動(dòng)依賴關(guān)系更新機(jī)器人）的開(kāi)發(fā)者那里獲得的，是通過(guò)監(jiān)控包含每個(gè)特定更新的拉取請(qǐng)求的成功率生成的。這樣做的目的是，從統(tǒng)計(jì)學(xué)角度看，一個(gè)不當(dāng)更新會(huì)導(dǎo)致相當(dāng)數(shù)量的項(xiàng)目失敗，而 Mend.io 可以將該更新標(biāo)記為 "低 "置信度。多次合并成功的更新將產(chǎn)生 "高 "或 "非常高 "的合并置信度。而那些比較新的更新，或者我們沒(méi)有足夠信心數(shù)據(jù)的更新，則會(huì)被標(biāo)記為 "中性"。隨著時(shí)間的推移，收集到的數(shù)據(jù)會(huì)越來(lái)越多，置信度也會(huì)從 "中性 "逐漸過(guò)渡到 "低"、"高 "或 "非常高"。
四、智能合并控制的優(yōu)勢(shì)
MCW 增強(qiáng)功能使開(kāi)源軟件包更容易保持最新。這對(duì)開(kāi)發(fā)人員來(lái)說(shuō)意義重大，因?yàn)樗麄兛梢岳?Mend.io 的合并可信度評(píng)分來(lái)減少保持最新所需的工作量。即使是一個(gè)小型應(yīng)用程序，也很容易使用大量需要定期更新的開(kāi)源依賴項(xiàng)。如果不了解更新是否可信，就必須對(duì)每次更新進(jìn)行測(cè)試。使用智能合并控制功能，開(kāi)發(fā)人員可以篩選出最可信的更新并自動(dòng)應(yīng)用。這大大減輕了開(kāi)發(fā)人員為其應(yīng)用程序保持良好的依賴關(guān)系健康狀況的負(fù)擔(dān)。
從安全角度看，它是打擊黑客的另一種工具。MCW 使依賴程序更容易接受更新，從而使應(yīng)用程序更頻繁地獲得安全修復(fù)，隨著更新采用率的提高，應(yīng)用程序也將變得更加安全。這也意味著更新會(huì)更快地被應(yīng)用，因此攻擊者利用每個(gè)已發(fā)現(xiàn)漏洞的時(shí)間就會(huì)更短。此外，技術(shù)債務(wù)的減少意味著安全管理人員將更有信心，相信開(kāi)發(fā)人員能夠?qū)ξ磥?lái)可能發(fā)生的任何緊急漏洞公告做出快速反應(yīng)，而不會(huì)破壞他們的應(yīng)用程序。

MCW 為用戶帶來(lái)的主要利益：

五、MCW 將 Mend SCA 自動(dòng)依賴性更新提升到新水平
幾年來(lái)，Mend SCA 一直是開(kāi)源安全的黃金標(biāo)準(zhǔn)。我們的主要工作是檢測(cè)漏洞，并幫助開(kāi)發(fā)人員高效地修復(fù)漏洞。近年來(lái)，我們率先推出了自動(dòng)拉取請(qǐng)求、提交時(shí)掃描、可達(dá)性路徑分析等功能。我們與 DevOps 工具鏈（也稱為 DevSecOps）的集成能力為我們贏得了許多大客戶的青睞。最近，我們發(fā)布的研究報(bào)告顯示，將 Mend SCA 與其代碼庫(kù)集成的客戶，其平均修復(fù)時(shí)間（MTTR）縮短了 74%，在任何給定時(shí)間內(nèi)修復(fù)的漏洞數(shù)量增加了三倍。
現(xiàn)在，我們?cè)?Mend SCA 中增加了自動(dòng)依賴性工作流，從而提高了軟件構(gòu)成分析的標(biāo)準(zhǔn)。我們相信，盡管許多依賴關(guān)系更新與漏洞管理并無(wú)具體關(guān)系，但這將帶來(lái)巨大的安全價(jià)值。
開(kāi)發(fā)人員越容易更新其應(yīng)用程序中的依賴關(guān)系，應(yīng)用程序就會(huì)收到越多的更新，因組件過(guò)時(shí)而積累的安全隱患也就越少。自動(dòng)化緩解了對(duì)耗時(shí)和繁瑣的人工依賴性測(cè)試的依賴。
Mend SCA 現(xiàn)在提供了一套豐富的功能，允許開(kāi)發(fā)人員配置更新的交付方式，幫助他們管理維護(hù)依賴關(guān)系健康這一原本艱巨的任務(wù)。

審核編輯 黃宇