網絡威脅變幻莫測，最近備受矚目的開源軟件安全事件（如 log4Shell、Solar Winds、Colors and Fakers 等）及其對全球數以千計公司造成的災難性影響，凸顯了企業目前在強化數字環境方面所面臨的挑戰。例如，IDC 的一項調查顯示，雖然2022 年一年內全球就有超過 1,000 萬人和 1,700 家實體受到開源軟件供應鏈攻擊的影響，但仍有87% 的受訪者青睞繼續使用開源組件來構建軟件。使用開源代碼的人日益增多，這帶來不可否認的優勢，促進合作開發，加快發展進程。然而，也必須認識到，這種整合存在風險。

開源代碼的崛起：一把雙刃劍

有行業研究表明，82% 的開源軟件組件因存在漏洞、安全問題、代碼質量或可維護性問題而存在“固有風險”。該報告還顯示，雖然企業中超過 70% 的軟件是開源的，但這些組件往往沒有得到追蹤、維護、更新或清點，從而在軟件供應鏈中留下了嚴重的漏洞，讓威脅行為者有可乘之機。這些數據凸顯出當下已成為軟件創新與安全相融合的“節骨眼”。

在當今軟件驅動的世界里，“唯快不破”的口號推動著軟件開發，對軟件開發和部署的速度提出更高的要求。開發人員要兼顧業務需求，而安全團隊則要增加保護層，但這些措施可能會延長時間。盡管“偷工減料”的做法很具誘惑性，但 IDC 的智慧還是占了上風：“今天安全不意味著明天一定安全”。IDC 指出，在部署之后進行二進制漏洞修復，可能會花費數百萬美元。更明智的做法是在部署軟件之前，評估并解決安全問題，避免在高風險運行時造成影響。在創新無止境的時代，安全不是一種選擇，而是成敗的決定性因素。

開發人員的關鍵考量因素

軟件開發過程錯綜復雜，為加速開發和部署安全軟件，關鍵在于開發人員、運營團隊和安全團隊之間的協作。

開發人員需要考慮三大關鍵領域：

1、為攔截抵御新出現的安全威脅，當務之急是對依賴的事項加強管理并定期更新。

2、進行徹底的二進制審查，保障第三方組件的真實性和完整性，從而降低潛在風險。

3、實施持續監測和自動漏洞掃描，確保主動識別并修復安全漏洞。通過遵守這些關鍵注意事項，開發人員就能提高軟件的可靠性和彈性，增強用戶信心，保護整個數字生態系統。

將安全工具無縫集成到開發工作流中，能夠帶來變革性優勢。通過采用整合平臺，無需管理眾多不同的工具，能夠簡化運營，提高效率并推動協作。這種方法不僅能加快解決問題的速度，還能通過最大限度地減少漏洞來加強安全性。面對不斷變化的威脅，整合平臺的方式具有戰略上的必要性，賦能公司應對挑戰，同時增強自身整體安全態勢。

確保軟件供應鏈的安全：強化，強化，再強化

當開發人員穿行于開源軟件的動態環境中時，有一條基本原則至關重要 —— 安全必須滲透到軟件供應鏈的方方面面。在軟件開發生命周期的各個環節落實安全措施，就好比加固數字堡壘的城墻，防止入侵和漏洞。為實現更安全的未來，關鍵就在于擁有能夠從一開始就掃描并阻止開源軟件組件滲入軟件供應鏈的強大工具。開發人員有責任在自身項目中優先考慮安全問題。他們利用所掌握的各種安全工具，就能創建一個創新與安全和諧共存的彈性生態系統。實現安全的開源代碼不僅是一種責任，也證明了堅定的承諾——建立以協作、創新和安全為基礎的數字環境。

文章作者：JFrog大中華區總經理董任遠