代码制品库或容器镜像制品库安全性相关问题?
中小型银行、应用系统大多以采购为主,不同厂商的产品在实施devops过程中,会形成不同的制品库,如自动化流水线生产的mvn jar,自动化生产的应用镜像等等。这里存在一个问题,就是安全性的相关问题。以往传统运维环节下,运维部门可以强行管控各类资源的版本,同时也会建设各种自动化...显示全部
查看其它 2 个回答lchqq的回答
您好,您的问题非常好,这也是中小银行的痛点问题。我觉得这可能属于一个更高层面——“开源治理”的范畴,需要有一系列的管理和技术手段进行管控,不是一个工具、一个部门能够独立完成的。我觉得
它至少包括下列3方面的内容:
1、准入标准。建设完善的企业级开源软件安全评估与引入流程。
2、安全管控。具备强大的开源组件安全管控能力,包括已有的开源软件使用情况梳理、及时获取开源软件安全漏洞信息、对开源组件的安全测试等能力。
3、修复或退出机制。实现安全漏洞的快速定位,通过对开源软件的修复或退出,快速解决问题,并考虑出现重大问题后的法务解决方案。
目前,我们行是通过一些流程进行管控的,比如架构部门的评审、安全部门的安全扫描测试等,发现问题通知整改等手段进行管控。但我们也是刚刚起步,感觉还存在职责不清晰、覆盖不全面、缺乏长效机制等问题,治理效果还有待进一步提升,咱们可以持续探讨这个问题。