在DevSecOps中实现开源软件安全与合规的最佳实践

摘要：

DevSecOps 是一种相对“新”的文化，在软件开发生命周期（SDLC）中，开发人员和运维人员均参与处理安全和合规问题。从集成开发环境 (IDE) 中的第一行代码，一直到应用程序交付至生产环境。

实施良好的 DevOps 方法十分不易，但是令 DevSecOps 步入正轨更具挑战。DevSecOps 的范围很广，其理念是在 DevOps 流程中集成不同的安全实践。目标是将软件开发生命周期每个阶段的安全风险降至最低。在最近的 SolarWinds 事件中，我们已经看到了有针对性的攻击对大型企业造成的影响。安全性并非孤立的问题，识别漏洞与软件开发密不可分。

开源软件 (OSS) 组件的使用持续增长，代码库存在潜在的隐藏漏洞和违反许可证的风险。问题是如何在软件开发过程中安全地使用 OSS 组件，而不将生产代码置于风险之中？监控和降低 OSS 组件中的风险，属于 DevSecOps 工具“软件成分分析 (SCA)”的工作范畴。

JFrog Xray 是一个软件成分分析 (SCA) 工具，可监控和查看 (OSS) 软件包的安全性和合规性。它是JFrog DevOps 平台不可或缺的一部分，并且与 JFrog Artifactory 进行了原生集成，后者用于存储和管理您所有的软件制品。通过充分利用这两种解决方案，可以实现软件制品的安全性、合规性和可追溯性。

本白皮书将指导您使用 JFrog Xray 在您的组织中实现 DevSecOps 流程的最佳实践，包括以下三个部分：

1. 通过采用推荐的仓库结构和依赖项构建信息，增加 JFrog Artifactory 中制品的可追溯性。
2. 通过在 JFrog Xray 中创建 Policy 和 Watch 来定义安全和许可证合规的行为规范。
3. 将 JFrog Xray 集成到安全和合规工作流程中。