都 2024 年了，端到端保护软件供应链安全真的实现了吗？

软件供应链安全问题日益受到关注，这主要由于全球化的软件开发和交付过程越来越复杂，给安全带来了挑战。近年来，一系列影响严重的供应链恶意攻击事件（如 SolarWinds 攻击、Codecov 事件）进一步凸显了软件供应链安全的脆弱性以及加强其防护的迫切需求。软件供应链安全已成为现代企业面临的重要挑战，尽管企业在安全意识、软件工具、新兴技术和最佳实践上都取得了一定的进步，但依然存在许多难题需要解决。安全团队需要在整个软件开发生命周期内实施门控和控制。真正实现端到端的安全需要采用主动（安全左移）和被动（安全右移）相结合的方法来保护应用程序在开发的每个阶段的安全性。

安全左移还没搞完，安全右移又来了？

虽然安全左移的概念更为人所知，但它也在不断发展。开发人员越来越多地使用 Copilot 等生成式 AI 工具来帮助他们更快、更安全地编写更多代码。但是，安全右移涉及保护生产环境，这取决于企业的部署策略，可以包括容器化应用程序和云原生部署。

什么是安全左移？

安全性左移的概念旨在开发生命周期的早期阶段集成安全实践，从而降低将漏洞引入到开发环境的可能性。软件开发人员代表软件供应链的最左边，通过安全编码实践推动安全性左移，防止不安全的代码被编译到软件二进制文件中。

安全左移的目标是通过尽早预防漏洞（例如危险的编码实践和身份验证弱点）来最大限度地减少攻击面。在软件开发流程的早期发现和修复错误还可以降低与补救相关的成本和复杂性。

什么是安全右移？

安全测试向右移动侧重于持续测试在生产环境中运行的应用程序，建立持续的安全检查，并防止部署后检测到的漏洞被纳入下一次更新。虽然安全左移的概念更为人所知，但在保护端到端的软件供应链安全方面，安全右移同样重要。

安全右移强调了运行时和部署阶段的安全措施，旨在改善用户体验并确保在发布软件更新之前不会出现任何问题。这涉及监控生产环境、检测和应对安全事件，以及根据实际反馈不断提高软件的安全性。安全性右移的意识产生证实了生产环境中可能存在或出现漏洞，从而扩大了攻击面，包括配置错误、易受攻击的容器镜像和运行时漏洞等问题。

安全左移和安全右移是两种不同的方法，它们将安全实践整合到软件开发生命周期的不同阶段。安全右移将企业的安全实践贯穿整个生产环境并进入运行时，而安全左移则涵盖软件开发流程的早期阶段。

虽然安全左移的实践可以尽早发现问题，但安全右移测试可以为部署和运行时环境提供关键保护，确保应用程序在任何情况下都能按预期运行。同时采用安全左移和安全右移方法是确保软件供应链安全的最有效策略。

端到端保护软件开发生命周期

尽管每个企业都尽最大努力预防安全威胁，但安全威胁仍在不断增加，而且随着攻击者正在使用人工智能和机器学习，情况只会变得更糟。组织必须在整个软件开发生命周期中实施端到端的软件供应链安全解决方案。

9 月，JFrog 正式宣布推出 Runtime 安全右移解决方案，支持 JFrog 端到端覆盖安全左移和安全右移的软件供应链管理平台。通过监督和保护处于运行状态的应用程序来解决应用程序安全的基本问题。该方案不仅能够实时监控应用程序的运行状态、数据流和操作环境，还能够在第一时间检测到安全威胁，并迅速采取措施进行通知和补救。这种动态的、实时的保护机制，与传统的静态安全测试（SAST）形成了鲜明对比，后者通常只能在开发阶段发现问题。

JFrog Runtime 的推出，为开发人员提供了一个强大的工具，使他们能够显著提高应用程序的稳健性。同时，它也为运营和安全团队提供了更有效的威胁处理手段，从而在保护应用程序的同时，也降低了相关的成本。这一点在当今成本敏感的商业环境中尤为重要。

10 月 22 日，InfoQ 极客有约栏目特别邀请到 JFrog (中国) 技术总监王青作客，与特邀主持阿里云高级架构师刘永宽共同探讨软件供应链安全的相关问题。如何确保在容器化时代下软件供应链的安全性？如何通过最新的技术手段来应对不断演变的安全威胁？如何在整个软件开发生命周期中实现端到端的保护？这些问题的答案，都将在 10 月 22 日的极客有约直播中揭晓。