文库搜索
切换导航
文件分类
频道
联系我们
国家标准目录
国际ISO标准目录
行业标准目录
地方标准目录
文件分类
联系我们
国家标准目录
国际ISO标准目录
行业标准目录
地方标准目录
批量下载
快速发布谁与争锋企业级DevSecOps开源治理方案演进之路THESPEAKER 云计算平台 生命周期管理 容器化 持续交付-DevOps 社区实践ArchSummit,DevOpsSummitDevOpsDays,Qcon大会嘉宾 JFrog中国解决方案架构师刘永强 DevSecOps闭环 CreatePlan PreprodVerifyConfigureDetect RespondPredictContinuousIntegrationContinuousMonitoringMonitoringAndAnalyticsMonitoringAndAnalyticsContinuousImprovementContinuousDeploymentContinuousConfigurationContinuousLearningDevOps Continuous DeliverySec开源!= 安全n开源组件几乎没有安全测试n提供方没有安全意识n安全问题需要投入更多的研发成本n组件使用者不关心第三方组件代码n一个漏洞,影响范围广n开源社区分享精神,维护者轻易把项目管理权交给其它人员n黑客的目标一般是开源组件n78%的漏洞存在于间接依赖关系中n2000年~2020年社区发展n商业软件依赖开源(被动依赖)nLinux: redhat,SusenOpenstacknKubenatesnHadoop 商业!= 安全 nSelfnNode_modulesnLinuxnNode.jsnLandscapenKubernetes我们的代码<0.1%在整个软件中 51.9%25.7%3.8%18.5%开源不等于安全Npm:event-stream事件event-stream包是一个Node.js流数据的JavaScript软件包。起因是event-stream 项目的作者由于时间和精力有限,将其维护工作交给另一位开发者Right9ctrl,该开发者获得了event-stream的控制权,将恶意代码注入。注入的恶意代码将会窃取比特币用户钱包内的私钥并发送至一个域名。 n周下载量在200万+次n持续时间为2.5个月n大约2000万+次的下载量n其他开源组件也有依赖各种语言的漏洞情况 30%Docker镜像包含已知漏洞14%Npmpackage包含已知漏洞59%Maven已发现漏洞仍未修复 54%开源软件安全漏洞风险2019 开源安全报告(Snyk):开发者安全技能短板明显,热门项目成漏洞重灾区!ApacheCommonsSpring框架(版本未指定)ApacheXMLXalan-Java(2.7.1)Node.js(版本未指定)FreeBSD(版本未指定)Zlib(1.2.8)SunJava平台标准版(JRE)(J2RE)(版本未指定)zlib(版本未指定)SunJava平台标准版SDK(J2SDK)(JDK)SunJava平台标准版开放BSDSunJava平台标准版已发现十大高风险组件9.36%的代码库6.54%5.30%5.12%4.95%4.77%4.24%4.06%3.89%3.18%攻击者继续利用未打补丁的软件对重要的基础设施组织进行攻击。根据US-CERT的统计,多达85%的有针对性的攻击是可以预防的。传统第三方依赖安全管理痛点RegistertoSecurityAlertsPlatformSpecificUbuntuNode.jsOpenSSL(yourvendorseclist)BroadListsUS-CERTNVDOSVDB
JFrog 中国解决方案架构师 企业级DevSecOps 开源治理方案演讲之路
文档预览
中文文档
26 页
50 下载
1000 浏览
0 评论
0 收藏
3.0分
赞助2元下载(无需注册)
温馨提示:本文档共26页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
下载文档到电脑,方便使用
赞助2元下载
本文档由
SC
于
2023-03-04 11:18:07
上传分享
举报
下载
原文档
(6.7 MB)
分享
给文档打分
您好可以输入
255
个字符
网站域名是多少( 答案:
github5.com
)
评论列表
暂时还没有评论,期待您的金玉良言
热门文档
青藤云安全 ATT&CK 实战指南.pdf
T-CACM 1230—2019 中医内科临床诊疗指南 慢性咳嗽.pdf
关于印发基础电信企业资产安全管理平台和网络安全态势感知平台建设指南的函.pdf
T-XLTDA 005—2021 地方特色乳制品 风味奶酪.pdf
T-CSTM 00043.6—2018 大气环境腐蚀试验 第6部分:建筑涂层材料暴露腐蚀试验.pdf
GB-T 26466-2011 固定式高压储氢用钢带错绕式容器.pdf
GA-T 1390.2-2017 信息安全技术 网络安全等级保护基本要求 第2部分 云计算安全扩展要求.pdf
T-CTSS 1—2018 白茶仓储规范.pdf
T-CSAE 284.1—2022 自动驾驶乘用车 线控底盘性能要求及试验方法 第1部分:驱动系统.pdf
GB-T 24612.1-2009 电气设备应用场所的安全要求 第1部分:总则.pdf
GB-T 42381.8-2023 数据质量 第8部分:信息和数据质量:概念和测量.pdf
GM-T 0116-2021 信息系统密码应用测评过程指南.pdf
GB-T 41996-2022 开关设备数字化车间运行管理模型指南.pdf
T-GERS 0020—2023 供气企业诚信计量管理规范.pdf
GB-T 20937-2018 硫酸钾镁肥.pdf
GA-T 460.4-2020 居民身份证卡体材料及打印薄膜技术规范 第4部分:制卡用模块、线圈承载层白色PETG薄膜.pdf
面向AI大模型的智算中心网络演进白皮书-2023 -中国移动.pdf
中信证券 银行业财富管理深度研究系列第5期:银行财富管理的新趋势-2022.pdf
GB-T 4423-2020 铜及铜合金拉制棒.pdf
数说安全 数据安全市场研究报告 2022-10.pdf
1
/
3
26
评价文档
赞助2元 点击下载(6.7 MB)
回到顶部
×
微信扫码支付
2
元 自动下载
点击进入官方售后微信群
支付 完成后 如未跳转 点击这里 下载
×
分享,让知识传承更久远
×
文档举报
举报原因:
×
优惠下载该文档
免费下载 微信群 欢迎您
站内资源均来自网友分享或网络收集整理,若无意中侵犯到您的权利,敬请联系我们
微信(点击查看客服)
,我们将及时删除相关资源。