刘靖毅：基于软件制品的企业级DevSecOps建设_仓库_漏洞_JFrog

今天分享的是：刘靖毅：基于软件制品的企业级DevSecOps建设

报告共计：27页

《基于软件制品的企业级DevSecOps建设》由JFrog发布，主要围绕2023年软件制品趋势、企业DevSecOps建设方法及实施案例展开。

1. 软件制品趋势：从JFrog Artifactory SaaS版产品数据来看，多种软件包类型的仓库数量呈增长态势。其中，Helm同比增长33.67%，Docker仓库达1,330,329个 。这表明容器化技术应用广泛，云原生成为企业DevOps建设的普遍选择。同时，传统编程语言在软件开发中依旧重要，超90%的企业仍维护Maven仓库。但软件供应链安全问题严峻，2015 - 2021年62%的攻击是软件供应链攻击，2022年增长4倍，如Log4j漏洞影响超17万个开源组件。

2. 企业DevSecOps建设挑战与应对策略

- 面临挑战：企业在DevSecOps建设过程中困难重重，包括开发人员安全知识欠缺、开发与安全团队协作不足、安全专家匮乏、预算有限、担心安全测试拖慢DevOps流程等。

- 应对方法：其一，统一入口，借助Artifactory可视化管控第三方软件包漏洞风险，保障开发使用可信组件。其二，依据交付成熟度部署制品仓库，设立不同级别仓库并进行权限管理。其三，设计多维度安全门禁策略，检测恶意包、漏洞等问题，结合上下文分析减少漏洞误报。其四，将安全门禁与DevOps工具链集成，如JFROG XRAY与多种工具结合，实现全流程安全管控。

3. 实施案例分享：以某集团及子公司为例，通过简化管理流程，制定Curation政策检查，创建漏洞、License策略。在二期建设中，构建集团和子公司的DevOps平台，设置各类制品仓库，借助JFrog平台的多种功能，实现DevOps调度管理、监控分析等，提升软件开发生命周期的安全性与效率。

总体而言，企业在软件制品应用日益复杂的当下，必须重视软件供应链安全，采用科学的DevSecOps建设方法，才能保障软件开发的安全与高效。

以下为报告节选内容