供应链攻击的爆炸是可能致命的现实后果

全天Devops 2020-不透明的开源供应链生死攸关的问题,与会者听到

如果只有50%的组件是制造商知道的,您会吃食物,登机还是上车?

“当然不会,”布莱恩·福克斯,Sonatype的联合创始人和CTO在今天(11月12日)举行的第五届年度DevOps会议上的开幕词中(11月12日)。

尽管最近有软件供应链的可见性,但这是当今应用程序开发的“完全不可接受的”现状。

实际上是在以前举行的新冠肺炎打击 - 全天24小时的DevOps会议有80位演讲者讨论AppSec主题,例如CI/CD,文化转型,现场可靠性工程,以及政府首次与大约25,000名参与者致敬。

福克斯在DevSecops曲目上说,现在约有85%的应用代码库生态系统开源

但是,生态系统的固有优势 - 众包全球发展社区的才能 - 由网络犯罪分子大规模利用。

在上游游泳

安全团队不再被动地依靠防火墙并等待脆弱性的“下游”出现,而“上游”攻击增加了四倍,这些攻击毒害了前后毒物的开发块,以及其他技术。

每年,成千上万的新组件降落在NPM存储库上,仅在大多数应用中就使用了五个最受欢迎的包装。

福克斯说:“弄清楚如何利用其中的一两个,而您的范围很大。”


面试Sonatype的布莱恩·福克斯(Brian Fox)开源安全性和“无戏剧”开发者


他警告说,在网上发现了79,000个包裹(占NPM存储库的14%)的被盗证书。

坏演员也正在利用漏洞快点。例如,攻击者开始探测Apache Struts漏洞的系统,该系统导致了备受瞩目的Equifax漏洞在协调披露的两天内,2017年。

现实世界的影响

2014年,由于发生故障的点火开关,2014年召回了数百万个雪佛兰钴汽车与13人死亡有关,向开发人员提供了有益的课程。

福克斯说:“他们不得不回忆起所有人,因为他们无法区分好开关和坏交换机。”

安全专业人士认为,解决开源组件的恶意渗透也是生死攸关的问题。

例如,在2017年,勒索软件帮派在流行的Commons Collection Apache库中利用了一个漏洞Cripple LA的好莱坞长老会医院在一周的时间里,统计数据表明,由于救护车被重新路由,这可能会加剧更高的死亡率。

汽车类比也提供了前进的道路,狐狸参考工程师w爱德华兹·德明汽车供应链管理的原则最佳实践:来自较少和更好的供应商的来源零件,仅使用最高质量的零件,从未通过已知的缺陷,并不断跟踪每个部分的位置。

行业洞察力

同时,解释“为什么安全意识开发人员是新的安全摇滚明星”Stefania Chaplin,Secure Code Warrior的EMEA解决方案架构师为全天的DevOps与会者提供了新鲜DevSecops策略的蓝图。

卓别林回顾了软件开发的历史,从基于瀑布的方法到敏捷,现在是Devsecops范式。她解释了为什么安全是共同的责任,以及为什么安全感知的开发人员是未来,并绘制了“从开发人员到DevSec”的路线。


洞察力什么是DevSecops?PortSwigger的指beplay官网可以赌南


DevSecops不仅仅是工具集;卓别林认为,这也是关于培养正确的文化。

她说,凭借“每个应用程序安全专家的大约100个软件开发人员”,她说,开发人员应以“安全冠军”的专家知识或至少具有基本原则来授权安全知识。

仍将在今年的全天DevOps会议上,Web应用程序开发人员beplay体育能用吗布列塔尼美女将至少运行一个免费开源的演示(FOSS)脆弱性扫描实际项目中的工具。

从下午6:30发言的Belle还将调查依赖性扫描工具的折衷格局,并提供有关选择正确的工具,运行扫描以及评估和对结果进行评估和行动的建议。

然后在UTC上午2:30,Salman Khwaja,数字支付解决方案提供商TPS巴基斯坦的应用程序安全经理将反思如何在金融部门中忽略软件安全性,以支持合规性问题。

Khwaja还将讲述他的团队如何实施SAST和dast扫描,系统硬化和安全自动化,以及他们如何解决PA-DSS审核(PDF)。

在其他地方,已经开发了任务关键软件已有二十多年的Chetan Conikee会认为许多静态应用程序安全测试(SAST)工具无效地识别与上下文相关的漏洞,例如业务逻辑缺陷,数据泄漏,内部威胁或硬编码的秘密。

在UTC的晚上8:30,CloudPhysics的前首席数据官将演示如何找到导致业务逻辑缺陷的条件,确定敏感的数据变量并在所有来源和水槽中绘制其流量,从并将安全检查纳入拉动请求或构建中,而不会放慢释放。

今年的DecSecops Track有27个演讲,该活动共有180次会议,所有这些都可以使用在线观看


推荐的在2020年黑帽子亚洲强调的全球安全观点的需求