美国关于网络安全的行政命令:它对DevOps意味着什么

美国政府将网络安全等同于国家安全。

这是最近的关键行政命令这将要求不仅必须审查软件应用程序,而且即将出台有关提供组成软件的所有组件的规定。如第一节所述:“网络事件的预防、检测、评估和补救是当务之急,对国家和经济安全至关重要。”

这在某些方面听起来可能令人生畏,但最重要的是,美国联邦政府内部的人以及那些与政府实体有业务往来的人。这些组织将面临新的合规和监管问题,这些问题将迅速蔓延到私营部门,并成为整个软件行业的标准。

但从短期和长期来看,这一顺序意味着什么?

期待什么

在不到60天的时间里,该命令表明将发布新的法规,包括“为供应商测试其软件源代码推荐最低标准的指导方针,包括确定推荐的手动或自动测试类型(如代码审查工具、静态和动态分析、软件组合工具和渗透测试)”。虽然我们不知道确切的规定,但可以肯定的是,重点不仅是性能测试,而且是软件如何构建、测试和制造过程——软件清单或软件材料清单(SBOM)。

但不要搞错:美国政府正开始意识到网络攻击的危险,这将对整个行业产生巨大影响。

弗吉尼亚州民主党参议员、参议院情报委员会(Senate Intelligence Committee)主席马克·华纳(Mark Warner)称赞了这一命令,但他表示……最近的攻击“突显了近年来日益明显的一个问题:美国根本没有准备好抵御由国家支持的、甚至是犯罪的黑客,这些黑客意图破坏我们的系统以获取利益或从事间谍活动。”(《纽约时报》)

什么是软件物料清单(SBOM)?

对于那些不熟悉的人,什么是SBOM?就像汽车一样,软件由许多相互依赖的小部件组成。只有当每个部件都按设计运行时,整个汽车才能正常运行。在一次软件供应链攻击中——比如最近SolarWinds例如,“汽车”的部件在到达装配线之前就被损坏了,这可能会导致汽车故障。

目前的命令要求公司不仅要向政府销售最好的“汽车”,还要提供所有包含部件的详细信息(如火花塞和灯泡)。

虽然市场上许多供应商的解决方案都可以扫描软件来提供这些材料列表,但JFrog更进一步:我们不仅知道这些组件,还知道这些组件来自哪里,它们的功能,它们是如何组装到汽车上的,以及工厂的环境。然后,我们可以使用这些数据来帮助公司做出数据驱动的业务决策,比如自动停止装配线。我们不只是提供材料清单,我们是独一无二的端到端流程,创建清单本身。

需要什么

除了SBOM“只是一个组件列表”之外,该命令还进一步指出,将重点关注“在可行的范围内,确保和证明产品任何部分中使用的开源软件的完整性和来源……”或“……安全的软件开发环境,包括以下行动:

  1. 使用管理上独立的构建环境;
  2. 审计信任关系;
  3. 跨企业建立多因素、基于风险的身份验证和有条件访问”

这种强调进一步表明,不仅是专有软件,而且是开源软件和第三方软件组件以及开发和测试环境本身(”记录和最小化对企业产品的依赖,这些产品是用于开发、构建和编辑软件的环境的一部分”)hth华体会最新官方网站会受到严格审查新发现漏洞的潜在风险作为SBOM交付的一部分。

从中长期来看,这对开发人员和DevOps从业者意味着什么?向左移动现在将成为几乎所有软件交付的一个不可分割的组成部分,因为私营部门采用这些标准是为了遵守他们自己、他们的客户以及他们客户的客户。

如何准备

不管未来几周会出现什么样的标准,我相信如果公司能够做到以下几点,它们将处于最佳的成功境地:

  • 提供一份完整的软件组件清单及其在公司中的使用情况——这是唯一的真相来源
  • 扫描所有软件包的漏洞和已知风险
  • 上游源代码和二进制文件的安全存储库,供应链的攻击(并证明这种能力)
  • 对发现的部件进行影响分析
  • 提供关于开发环境和管道组件的详细信息
  • 证明管道中每一步的安全性构建过程
  • 自动停止危险、不受信任或受感染进程以防止继续的能力
  • 提供加密签名和验证的版本
  • 将所有这些细节作为以不可变方式生成的SBOM的一部分提供

特别是在JFrog,我们正在研究所有这些领域,幸运的是,许多这些特性和组件已经可用了。随着美国政府的要求越来越明确,我期待着与合作伙伴和客户合作,以最高效、最有效的方式来满足这些要求。

喜欢这篇文章吗?观看免费网络研讨会录音”乔·拜登的安全命令:它对DevOps意味着什么