31、信息安全集成：从开发到部署的全面保障

信息安全集成：从开发到部署的全面保障

1. 安全测试融入开发流程的显著成效

将安全测试融入开发流程能够带来惊人的效果。通过在开发者编写不安全代码时提供快速反馈，并展示如何修复漏洞，Brakeman 已将发现的漏洞率降低了 60%。这一案例充分说明了将安全融入 DevOps 的日常工作和工具是多么必要且有效。它不仅降低了安全风险，减少了系统中出现漏洞的可能性，还帮助开发者编写更安全的代码。

2. 确保软件供应链安全

如今，开发者更多地是从开源组件中组装所需的软件，这就形成了我们高度依赖的软件供应链。然而，使用这些组件时，我们不仅继承了其功能，也可能继承了其中包含的安全漏洞。

2.1 软件选择的考量

在选择软件时，我们需要检测项目所依赖的组件或库是否存在已知漏洞，并帮助开发者谨慎选择组件，优先选择那些有快速修复软件漏洞记录的开源项目。同时，要关注生产环境中是否存在同一库的多个版本，特别是包含已知漏洞的旧版本。

2.2 开源组件安全的重要性

从持卡人数据泄露事件可以看出选择安全的开源组件的重要性。相关报告显示，在 2014 年研究的持卡人数据泄露事件中，10 个漏洞（即 CVEs）几乎占了所有利用漏洞的 97%，其中 8 个漏洞已有超过 10 年历史。2015 年的一份报告进一步分析了 Nexus 中央存储库的漏洞数据，发现典型组织依赖 7,601 个构建工件，使用 18,614 个不同版本，其中 7.5%的组件存在已知漏洞，超过 66%的漏洞超过两年未解决。

年份	报告名称