Khi quy trình phát triển phần mềm ngày càng phức tạp, tin tặc tiếp tục khai thác các hệ sinh thái mã nguồn mở và tự động hóa CI/CD để chèn mã độc vào những nơi khó phát hiện nhất. Các nhóm cần một cách để xác minh mọi thành phần phần mềm trước khi nó tiến sâu hơn vào vòng đời phát triển phần mềm (SDLC) mà không làm chậm tiến độ của nhà phát triển.
Để giúp các tổ chức tăng cường khả năng phòng thủ trong chuỗi cung ứng của họ, OPSWAT đang giới thiệu MetaDefender Software Supply Chain Plugin dành cho TeamCity. Sự tích hợp này kết hợp tính năng phát hiện mối đe dọa tự động, phân tích bí mật và khả năng hiển thị rủi ro phụ thuộc trực tiếp vào quy trình xây dựng TeamCity của bạn, đảm bảo rằng mọi bản dựng đều được quét và xác minh về độ an toàn.
Bên thứ ba và Supply Chain Rủi ro đang gia tăng.
Các quy trình phát triển hiện đại phụ thuộc rất nhiều vào các gói phần mềm của bên thứ ba, hệ sinh thái mã nguồn mở, API và các dịch vụ vi mô phân tán. Sự chuyển đổi này đã mở khóa tốc độ và sự đổi mới to lớn, nhưng cũng mở rộng bề mặt tấn công theo những cách mà các công cụ bảo mật truyền thống chưa từng được thiết kế để xử lý.
Các ứng dụng được lắp ráp từ hàng ngàn thành phần bên ngoài, ảnh container, dịch vụ đám mây và thư viện mã nguồn mở. Trên thực tế, hầu hết các tổ chức hiện nay sử dụng các thư viện mã nguồn mở trong hơn 90% ứng dụng của họ. Nhưng sự phụ thuộc này cũng tiềm ẩn những rủi ro thực sự:
- Các gói phần mềm của bên thứ ba chưa được xác minh có thể lây lan phần mềm độc hại.
- Phần mềm mã nguồn mở lỗi thời hoặc dễ bị tổn thương có thể tạo ra những lỗ hổng cho việc khai thác âm thầm.
- Các chuỗi phụ thuộc phức tạp khiến việc biết được những gì thực sự đang chạy trong môi trường sản xuất trở nên khó khăn.
- Tự động hóa CI/CD giúp tăng tốc quá trình phát triển, nhưng nếu không được kiểm soát, nó cũng có thể đẩy nhanh sự lây lan của các lỗ hổng bảo mật.
Cách thức hoạt động
Tích hợp plugin vào TeamCity chỉ trong vài phút:
Dễ vận hành và bảo trì
TeamCity tự động thay thế các phiên bản trước đó. Bạn có thể khôi phục hoặc gỡ bỏ plugin khỏi giao diện quản trị bất cứ lúc nào.
Cho dù bạn quản lý một vài microservice hay hàng trăm kho lưu trữ, thì... MetaDefender Software Supply Chain Plugin TeamCity cung cấp nền tảng có khả năng mở rộng để bảo mật chuỗi cung ứng phần mềm của bạn.
Lợi ích
Phát hiện và ngăn chặn mã độc
Quét các bản dựng của bạn để tìm các thành phần độc hại ngay từ giai đoạn đầu của vòng đời phát triển phần mềm và phát hiện các gói bị xâm phạm từ các nguồn như npm, PyPI hoặc Maven trước khi chúng được đưa vào môi trường sản xuất.
Ngăn chặn rò rỉ bí mật
Xác định các mã cứng API các khóa, mật khẩu, mã thông báo và dữ liệu nhạy cảm khác trước khi chúng vô tình bị đẩy xuống sâu hơn trong quy trình.
Hiểu biết về rủi ro phụ thuộc và mã nguồn mở
Nêu bật các mối quan hệ phụ thuộc lỗi thời, chưa được kiểm chứng hoặc tiềm ẩn rủi ro, bao gồm cả các mối quan hệ bắc cầu thường dễ bị bỏ qua.
Software Tính hiển thị và tính minh bạch
Tạo báo cáo SBOM theo định dạng tiêu chuẩn (CycloneDX, SPDX) cho mỗi bản dựng, giúp nhóm của bạn nắm rõ tất cả các thành phần.
Bạn có thắc mắc về thiết lập hoặc các phương pháp tốt nhất? Nhận tư vấn chuyên biệt cho môi trường CI/CD của bạn.
