加入星計劃,您可以享受以下權(quán)益:

  • 創(chuàng)作內(nèi)容快速變現(xiàn)
  • 行業(yè)影響力擴(kuò)散
  • 作品版權(quán)保護(hù)
  • 300W+ 專業(yè)用戶
  • 1.5W+ 優(yōu)質(zhì)創(chuàng)作者
  • 5000+ 長期合作伙伴
立即加入
  • 正文
  • 推薦器件
  • 相關(guān)推薦
  • 電子產(chǎn)業(yè)圖譜
申請入駐 產(chǎn)業(yè)圖譜

艾體寶方案 | 管理開源軟件包更新,提升開源安全性

06/13 07:20
568
閱讀需 9 分鐘
加入交流群
掃碼加入
獲取工程師必備禮包
參與熱點資訊討論

摘要: 文章介紹了Mend.io如何通過其Smart Merge Control功能增強開源軟件的安全性?,F(xiàn)代應(yīng)用程序高度依賴開源軟件,但這也增加了潛在的安全漏洞。Mend SCA的增強功能允許開發(fā)者基于“合并信心”值來管理更新,這個值反映了Mend.io對特定更新能夠成功合并到應(yīng)用程序的信心。這個信心值是通過監(jiān)測大量開發(fā)者使用Mend Renovate(一個自動化依賴更新工具)時的拉取請求成功情況來眾包的。Smart Merge Control使得開發(fā)者能夠基于更新的可靠性來選擇是否接受更新,從而簡化了依賴管理過程,提高了應(yīng)用程序的安全性。

簡介: Mend.io的Smart Merge Control功能通過自動化和眾包的方式,幫助開發(fā)者更有信心地管理開源軟件的依賴更新,從而提升應(yīng)用程序的安全性。這一創(chuàng)新工具利用Mend Renovate的大量數(shù)據(jù),為開發(fā)者提供了一個基于合并成功率的信心評分系統(tǒng),使得依賴更新過程更加高效和可靠。

現(xiàn)代應(yīng)用程序在很大程度上依賴于開源軟件,大多數(shù)企業(yè) 80% 的應(yīng)用程序和代碼庫都是開源的,在某些情況下甚至更多。雖然這對快速開發(fā)和創(chuàng)新有很大好處,但也增加了別有用心之人利用漏洞的可能性,擴(kuò)大了潛在的攻擊面。

這些代碼庫中大量使用了開源組件,為了維護(hù)應(yīng)用程序的穩(wěn)健安全,開發(fā)人員和安全團(tuán)隊必須與快速更新的代碼庫保持同步——但他們?nèi)绾尾拍艽_信自己做到了這一點呢?現(xiàn)在,Mend.io 有了答案,Mend SCA 的增強功能讓您可以享受完全自動化的開源軟件包更新流程,并對這些更新的成功率充滿信心。

一、挑戰(zhàn)

1、過時依賴項埋伏安全隱患

開發(fā)人員和安全專業(yè)人員都認(rèn)為,如果使用最新的依賴項,應(yīng)用程序就會更加安全,但說起來容易做起來難。部分原因是依賴項越來越多,更新也越來越頻繁,而且這種趨勢沒有逆轉(zhuǎn)的跡象。隨著依賴項和潛在更新數(shù)量的激增,人工檢查的方法越來越行不通,需要進(jìn)行 "分流",而這種 "分流 "會忽略許多更新,并以過時依賴項的形式開始積累安全隱患。

自動化測試和修復(fù)對于緩解這個問題大有幫助。像 Mend Renovate 機(jī)器人這樣的工具開創(chuàng)了“依賴自動化”時代,并已被許多高性能開發(fā)團(tuán)隊采用。然而,即使實現(xiàn)了項目級自動化,保持最新狀態(tài)仍然需要開發(fā)人員花費大量時間。項目團(tuán)隊缺乏強大的測試套件,可能會對更新依賴項感到不確定,因此與其他團(tuán)隊相比變得越來越過時。

2、手動測試和部署效率低

此外,大多數(shù)應(yīng)用程序的測試水平不足以依賴自動測試和部署。即使有,大多數(shù)公司也不會測試外部依賴項的內(nèi)部運行問題。因此,很難相信外部依賴項的更新是否會破壞應(yīng)用程序。這就導(dǎo)致了需要手動測試,增加了開發(fā)人員的開銷,并減慢了更新依賴關(guān)系的進(jìn)程。
Renovate 可生成大量更新,要手動測試和部署所有更新可能會讓人不知所措?,F(xiàn)有的分組機(jī)制可以提供幫助,但無法消除不信任更新的問題,因為不信任更新會導(dǎo)致整組更新失效。

因此,項目往往會因為對項目測試缺乏信心和缺乏審查更新的資源而導(dǎo)致依賴性更新滯后,這樣一來,未來出現(xiàn)安全問題的風(fēng)險就會增加。

二、需求

因此,當(dāng)下的改進(jìn)方向顯然是簡化和加速更新依賴關(guān)系的流程。它必須易于使用,且必須使開發(fā)人員能夠接受更新并盡可能快速、輕松地應(yīng)用有價值的安全問題修復(fù)程序,從而使他們的工作更加高效。這樣的解決方案將提升應(yīng)用程序的安全狀況,因為它將:

  • 為已采用依賴自動化的項目節(jié)省大量時間和資源
  • 降低其他項目采用依賴自動化的門檻
  • 讓你了解最新的依賴關(guān)系,這是做好準(zhǔn)備應(yīng)對開源安全漏洞的最佳方式

三、解決方案—Mend SCA 智能合并控制功能

Mend SCA 現(xiàn)在允許開發(fā)人員根據(jù) "合并信心 "值管理更新,從而解決了這些問題。"合并信心 "值表示 Mend.io 對給定更新在不破壞構(gòu)建的情況下合并到應(yīng)用程序的信心。

這個置信度值是從大量使用 Mend Renovate(世界上最流行的自動依賴關(guān)系更新機(jī)器人)的開發(fā)者那里獲得的,是通過監(jiān)控包含每個特定更新的拉取請求的成功率生成的。這樣做的目的是,從統(tǒng)計學(xué)角度看,一個不當(dāng)更新會導(dǎo)致相當(dāng)數(shù)量的項目失敗,而 Mend.io 可以將該更新標(biāo)記為 "低 "置信度。多次合并成功的更新將產(chǎn)生 "高 "或 "非常高 "的合并置信度。而那些比較新的更新,或者我們沒有足夠信心數(shù)據(jù)的更新,則會被標(biāo)記為 "中性"。隨著時間的推移,收集到的數(shù)據(jù)會越來越多,置信度也會從 "中性 "逐漸過渡到 "低"、"高 "或 "非常高"。

四、智能合并控制的優(yōu)勢

MCW 增強功能使開源軟件包更容易保持最新。這對開發(fā)人員來說意義重大,因為他們可以利用 Mend.io 的合并可信度評分來減少保持最新所需的工作量。即使是一個小型應(yīng)用程序,也很容易使用大量需要定期更新的開源依賴項。如果不了解更新是否可信,就必須對每次更新進(jìn)行測試。使用智能合并控制功能,開發(fā)人員可以篩選出最可信的更新并自動應(yīng)用。這大大減輕了開發(fā)人員為其應(yīng)用程序保持良好的依賴關(guān)系健康狀況的負(fù)擔(dān)。

從安全角度看,它是打擊黑客的另一種工具。MCW 使依賴程序更容易接受更新,從而使應(yīng)用程序更頻繁地獲得安全修復(fù),隨著更新采用率的提高,應(yīng)用程序也將變得更加安全。這也意味著更新會更快地被應(yīng)用,因此攻擊者利用每個已發(fā)現(xiàn)漏洞的時間就會更短。此外,技術(shù)債務(wù)的減少意味著安全管理人員將更有信心,相信開發(fā)人員能夠?qū)ξ磥砜赡馨l(fā)生的任何緊急漏洞公告做出快速反應(yīng),而不會破壞他們的應(yīng)用程序。

MCW 為用戶帶來的主要利益:

五、MCW 將 Mend SCA 自動依賴性更新提升到新水平

幾年來,Mend SCA 一直是開源安全的黃金標(biāo)準(zhǔn)。我們的主要工作是檢測漏洞,并幫助開發(fā)人員高效地修復(fù)漏洞。近年來,我們率先推出了自動拉取請求、提交時掃描、可達(dá)性路徑分析等功能。我們與 DevOps 工具鏈(也稱為 DevSecOps)的集成能力為我們贏得了許多大客戶的青睞。最近,我們發(fā)布的研究報告顯示,將 Mend SCA 與其代碼庫集成的客戶,其平均修復(fù)時間(MTTR)縮短了 74%,在任何給定時間內(nèi)修復(fù)的漏洞數(shù)量增加了三倍。

現(xiàn)在,我們在 Mend SCA 中增加了自動依賴性工作流,從而提高了軟件構(gòu)成分析的標(biāo)準(zhǔn)。我們相信,盡管許多依賴關(guān)系更新與漏洞管理并無具體關(guān)系,但這將帶來巨大的安全價值。

開發(fā)人員越容易更新其應(yīng)用程序中的依賴關(guān)系,應(yīng)用程序就會收到越多的更新,因組件過時而積累的安全隱患也就越少。自動化緩解了對耗時和繁瑣的人工依賴性測試的依賴。

Mend SCA 現(xiàn)在提供了一套豐富的功能,允許開發(fā)人員配置更新的交付方式,幫助他們管理維護(hù)依賴關(guān)系健康這一原本艱巨的任務(wù)。

推薦器件

更多器件
器件型號 數(shù)量 器件廠商 器件描述 數(shù)據(jù)手冊 ECAD模型 風(fēng)險等級 參考價格 更多信息
TP-108-02-1-T 1 Components Corporation Interconnection Device, ROHS COMPLIANT
$1.28 查看
MCC255-16IO1 1 Littelfuse Inc Silicon Controlled Rectifier, 450A I(T)RMS, 250000mA I(T), 1600V V(DRM), 1600V V(RRM), 2 Element,
$150.75 查看
1N4007E-E3/54 1 Vishay Intertechnologies Rectifier Diode, 1 Element, 1A, 1000V V(RRM), Silicon, DO-204AL, DO-41, 2 PIN

ECAD模型

下載ECAD模型
$0.48 查看

相關(guān)推薦

電子產(chǎn)業(yè)圖譜

虹科是一家資源整合及技術(shù)服務(wù)落地供應(yīng)商,與全球頂尖公司深度技術(shù)合作,專注于制造業(yè)、汽車、生物、醫(yī)藥、測試與測量、廣播電視與媒體、通信、網(wǎng)絡(luò)安全、光電等領(lǐng)域,為客戶提供:智能自動化、工業(yè)物聯(lián)網(wǎng)、智能感知、數(shù)字化+AR、光電、網(wǎng)絡(luò)安全、測試測量、衛(wèi)星與無線通信、醫(yī)藥環(huán)境監(jiān)測與驗證、生命科學(xué)、汽車電子、汽車維修診斷、云科技等解決方案。虹科始終致力于為行業(yè)客戶提供創(chuàng)新及前端的產(chǎn)品和技術(shù)解決方案,為科技社會發(fā)展助力加碼。