2021年6月10日

拜登总统:确保软件供应链安全

行政命令:保护开源供应链

你的供应链安全有多成熟?看看您现有的开源安全性和完整性控制有多好,通过使用我们的快速,8个问题的自我评估

美国总统拜登呼吁对软件进行大胆的改革作为对网络攻击急剧增加的回应,包括近年来对物理和软件基础设施最严重的黑客攻击:

  • SolarWinds,泄露了包括美国政府在内的3.3万多个客户使用的IT资源管理软件
  • 殖民管道这使得向美国东海岸输送天然气和石油的工作陷入瘫痪

总统的行政命令要求采用多种安全最佳实践,但软件和FedRAMP供应商需要特别注意的是,美国联邦政府现在将要求:

  • 一个物料清单(BOM)与政府购买的任何软件相关
  • 一种检查和自动化的方法漏洞补救
  • 出处,或能够识别所有软件组件的来源的能力

对于希望向美国联邦政府机构出售其应用程序和解决方案的软件和FedRAMP供应商来说,这些要求可能会构成一个重大的进入障碍。联邦政府发起的,私营部门很可能会采纳。ActiveState在这里提供帮助。

Acti188bet金宝搏备用veState平台是针对Python、Perl和Tcl(更多编程语言即将问世)的通用包管理解决方案,有助于确保从开发到生产都使用安全的开源组件。更确切地说,它还提供了拜登总统行政命令所要求的许多供应链安全功能。

软件物料清单

该行政命令要求“直接或在公共网站上公布为每个产品提供一份软件材料清单(SBOM)”。

我以前讨论过BOM,但是概括一下,BOM只是构建应用程序所需成分的全面列表。BOM可以包括:

  • 一种编程语言的版本
  • 该语言生态系统中的开源软件包及其依赖项
  • 操作系统(OS)级依赖项
  • 专有代码包(即开发人员编写的代码)
  • 配置(即。,metadata like version number, open source license, etc)
  • 常见漏洞和暴露(CVE)报告,显示每个组件的漏洞

Acti188bet金宝搏备用veState平台进一步为您提供了以下两方面:

  • Python, Perl和Tcl传递依赖(例如。,依赖的依赖)
  • 依赖关系(即共享。,OpenSSL, which is shared across all the operating systems your application supports)

根据执行命令,您可以简单地复制并导出BOM(对于私有项目),或者提供到它的链接(对于公共项目),从而使您的BOM直接从ActiveState平台可用。188bet金宝搏备用一个典型的BOM可能如下所示:

软件物料清单

BOM不仅确定了所有软件包和依赖项,还确定了哪些软件包和依赖项具有CVE,以及详细解释每个软件包和依赖项的国家漏洞数据库链接。

开源漏洞补救

行政命令要求“采用自动化工具或类似流程,检查已知和潜在的漏洞并进行补救”。

我已经讨论过这个问题了漏洞补救能力之前的Acti188bet金宝搏备用veState平台。总而言之,ActiveState平台为您提供:

  • 当您的Python、Perl或Tcl环境受到攻击时,状态将更新
  • 显示每个漏洞的严重级别和详细信息的PDF报告
  • 能够在几分钟内使用安全组件修复和自动重建您的环境

因为ActiveStat188bet金宝搏备用e平台跟踪所有组件的多个版本,所以只需选择一个非脆弱版本,就可以在操作系统、包和依赖项级别上修复漏洞。Acti188bet金宝搏备用veState平台可以通过自动重建您的环境来节省大量的时间和精力,以便将其拉入CI/CD管道中进行测试。

看看这个2分钟的视频是怎么做的:

软件代码来源

关于出处,行政命令要求“保持准确和最新的数据、软件代码或组件的出处(即出处)”以及“在可行的范围内确保和证明开源软件的完整性和出处”

这里,ActiveS188bet金宝搏备用tate平台为您提供:

  • 精选目录–我们所有的Python、Perl和Tcl包都是从各自的官方存储库(PyPI、CPAN等)以及其他源(如GitHub)导入的。
  • 从源代码生成-所有的包自动从Windows, Linux和macOS的源代码在几分钟内构建,而不是依赖于预构建的二进制文件,可能包含恶意代码。
  • 赔偿建筑–我们的企业客户能够使用ActiveState审查过的组件创建Python、Perl和Tcl环境,这些组件维护良好,适合包含在商业应用程序中。您可以在上面的屏幕截图中看到这样一个受保护的构建示例。
  • 审计跟踪Python、Perl和Tcl环境的所有更改都会被跟踪,这样你就可以随时确定谁在什么时候做了哪些更改。

您甚至可以使用ActiveState平台的188bet金宝搏备用建立图形API验证环境中每个包的源代码。例如运行API查询将返回指向ActivePython项目源代码的链接:

构建图形API源代码

结论:左移安全

当美国总统将开放源码安全置于流行病、全球变暖和经济等问题之前时,现状就不再站得住脚,需要探索新的解决方案。

也许最明显的问题是,SolarWinds黑客入侵了公司的开发环境(而不是通常的生产环境黑客),这意味着他们创建的任何软件都将受到威胁。这是一种新型攻击的前兆,攻击目标是食物链的顶端——DevSecOps的支持者多年来一直警告我们:需要将安全性向左转移,以确保您开发的代码是安全的。

这是ActiveState平台的重点,它不仅允许您188bet金宝搏备用创建安全的Python、Perl和Tcl环境来构建您的应用程序,还可以确保它们以一种简单、自动化的方式保持安全和最新。

准备好亲眼看看了吗?您可以尝试ActiveState188bet金宝搏备用平台注册一个免费账户.或注册一个免费的演示让我们向您展示如何在您的组织中保护开源供应链。

需要有关保护软件的更多信息吗?请阅读以下内容:

如何拼写Security B-O-M

如何更快地修复您的开源漏洞

//www.gxzgxy.com/resources/datasheets/improve-open-source-security-with-a-bill-of-materials/

数据表:确保您的开源供应链

Dana起重机

Dana起重机

经验丰富的产品营销人员和产品经理,在计算机软件行业有成功的经验。精通产品生命周期管理、实用营销方法、企业软件、软件即服务(SaaS)、敏捷方法、客户关系管理(CRM)和市场进入策略。

»168博金宝 »拜登总统:确保软件供应链安全
物料清单开源的安全开源供应链发源地漏洞补救