代码制品库或容器镜像制品库安全性相关问题？

目前金融行业重要采用JFrog Artifactory及Xray进行开源组件安全及合规性治理

随着开源软件及组件被组织广泛应用，带来的安全风险和法务风险也愈发严重。近年来无数企业被护网行动和开源风险所影响，由于管理不严格、制度不规范，在护网行动中只能通过断网来方法，影响产品安全的同时，也对业务正常运转有极大的影响。所以开源治理的工作必然是下一阶段重点内容。那么如何通过开源组件及软件的管控，来助力开源治理呢？

我们通过下述4种方法来为开源治理行动打下坚实的基础：

1， 控制源头，统一引入开源组件及软件

无论传统行业还是互联网行业，开源引入的方式都十分重要，如果没有统一的引入源头及引入平台，使用者随意下载开源组件及软件，直接在组织内使用，带来的风险无法清查，对开源的使用、更新、退出等流程无法监管。

为了避免此种现象，可以使用JFrog Artifactory，统一建立引入机制，对开源引入合规化、可视化，使开发者可以通过可信渠道，快速获得所需开源组件及软件，并对开源软件及组件的使用、更新、退出情况全流程记录。

2， 识别开源风险

开源风险分为安全风险和法务风险两部分，无论是哪个方面，对于普通的开发人员，均无法识别到。如果风险被引入到交付体系中，将对产品的安全性和法务合规性有着严重的影响，开发人员为了修复风险，也将花费大量时间和成本。所以开源组件的风险识别，将是开源治理的最重要的部分。

为了给开发人员提供最佳体验，可以使用JFrog Xray监控开源资产的安全风险及法务风险，从源头帮助开发人员避免引入有风险的开源资产，从源头避免安全问题产生，为价值交付加速。

3， 开源风险记录追踪

对于所有交付软件资产，我们需要了解每个软件使用了哪些开源组件，每个组件是什么版本，每个版本有什么风险，以便在护网行动中，可以快速的定位暴露在互联网上的产品的安全情况，帮助我们快速设防。如果发生类似Fastjson这种0day漏洞，我们也可以快速定位到风险的影响范围，进行全面的风险定位，快速修复，避免漏网之鱼的存在。

为了实现该功能，我们需要使用JFrog Artifactory，实现组织资产的统一管理，打造企业单一可信源，确保软件资产在统一平台存储，同时通过JFrog Xray进行实时安全监控，分析软件及组件之间的依赖关系，快速定位影响范围。

4， 开源风险处置

当然仅仅识别到开源风险是不够的，我们需要对风险进行处置，知道风险如何进行修复。

可以使用JFrog Xray，将对已经暴露的风险进行提示，并直接将修复建议通知给开发人员，使开发人员快速的进行修复。

部分落地案例：

1， 某金融用户开源组件及软件引入规范：

组件引入需要架构办及安全办基于安全风险和法务风险进行评估，合规判定后，将会被引入到组织内部

2， 某金融用户开源资产追踪实践

通过JFrog Artifactory集中管理企业内开源组件、软件、商业组件、产品软件、docker镜像等，通过JFrog Xray自动分析组件、软件、镜像间的依赖关系，做到出问题可以快速追溯到风险的影响范围

3， 某互联网用户开源风险处置方案

通过在开发人员IDE中安装扫描插件，做到安全左移，在开发源头做到风险管控，避免风险传递到下游，导致返工等现象，大大提升了开发效率，减轻开发与安全团队之间的隔阂。