開(kāi)源工具在DevOps工具鏈中占據(jù)了中心位置。隨著組織越來(lái)越依賴開(kāi)源工具，影響這些工具的風(fēng)險(xiǎn)已轉(zhuǎn)移給這些組織。為了減輕這種風(fēng)險(xiǎn)，組織必須對(duì)開(kāi)放源代碼工具進(jìn)行連續(xù)監(jiān)視。讓我們看一下開(kāi)源堆棧中的各個(gè)層，并確定需要監(jiān)視的關(guān)鍵關(guān)注點(diǎn)。

Linux –內(nèi)核，Sudo

Linux在每個(gè)技術(shù)堆棧中都占有一席之地。由于其被廣泛采用，因此它是黑客的主要目標(biāo)。而且，項(xiàng)目的絕對(duì)復(fù)雜性和龐大性意味著漏洞不可避免地會(huì)定期發(fā)生。無(wú)論是Linux內(nèi)核還是系統(tǒng)的重要部分（如Sudo功能），Linux OS的每個(gè)部分都可能導(dǎo)致漏洞。

編程語(yǔ)言– JavaScript，Python，Go

我們?cè)诙嘣拈_(kāi)發(fā)團(tuán)隊(duì)中運(yùn)作。這對(duì)開(kāi)發(fā)人員來(lái)說(shuō)是很棒的體驗(yàn)，但是對(duì)于實(shí)施安全性來(lái)說(shuō)可能是一場(chǎng)噩夢(mèng)。每種編程語(yǔ)言都是由開(kāi)放源代碼開(kāi)發(fā)人員社區(qū)開(kāi)發(fā)和維護(hù)的。他們每個(gè)人都有不同的設(shè)計(jì)理念，更新頻率和每個(gè)人獨(dú)有的漏洞。如果您的組織規(guī)模很小，并且所有開(kāi)發(fā)人員都使用一種語(yǔ)言編寫(xiě)代碼，那么您的工作就很容易，但是在大型組織中，SecOps團(tuán)隊(duì)會(huì)在監(jiān)視編程語(yǔ)言中的漏洞方面為他們完成工作。

編程語(yǔ)言中的錯(cuò)誤的范圍可能從錯(cuò)誤的輸入驗(yàn)證到可利用的拒絕服務(wù)再到解析驗(yàn)證問(wèn)題。流行的編程語(yǔ)言（如JavaScript，Python和Go）經(jīng)常會(huì)遇到問(wèn)題，盡管它們的安全團(tuán)隊(duì)始終處于活動(dòng)狀態(tài)，一旦發(fā)現(xiàn)漏洞，便立即發(fā)布安全補(bǔ)丁。SecOps團(tuán)隊(duì)和開(kāi)發(fā)人員仍然有責(zé)任遵循安全的編碼做法，并及時(shí)了解影響他們使用的編程語(yǔ)言的最新問(wèn)題。

UI框架– jQuery，Angular，Bootstrap

jQuery，Angular，Vue和Bootstrap之類的Javascript框架在編程語(yǔ)言之上運(yùn)行，因此需要監(jiān)控的漏洞有其自己的份額。這些框架保證了易用性，但也增加了一層復(fù)雜性并增加了堆棧的攻擊面。

插件是jQuery體驗(yàn)的核心，它們通常是漏洞點(diǎn)。其他威脅包括跨站點(diǎn)腳本（XSS）和內(nèi)容安全策略（CSP）繞過(guò)。結(jié)論很明顯– UI框架需要持續(xù)監(jiān)控。

容器工具– Kubernetes，Docker，容器映像

集裝箱革命席卷了發(fā)展世界。在過(guò)去的幾年中，容器工具的發(fā)展迅速。但是，快速增長(zhǎng)還伴隨著需要彌補(bǔ)的安全漏洞。在容器堆棧中，有許多層，例如容器引擎，容器注冊(cè)表和容器編排器。它們都是潛在的漏洞來(lái)源。

影響Docker的風(fēng)險(xiǎn)包括機(jī)密信息處理不當(dāng)，使敏感數(shù)據(jù)向未經(jīng)授權(quán)的查看者開(kāi)放，以及由于CPU和內(nèi)存等資源過(guò)度消耗而導(dǎo)致的服務(wù)拒絕問(wèn)題。與Docker相比，Kubernetes在容器體驗(yàn)中更為重要，因此需要更加密切地監(jiān)控其漏洞。問(wèn)題包括內(nèi)存泄漏和對(duì)自定義資源的未授權(quán)訪問(wèn)。

除此之外，還可以從公共互聯(lián)網(wǎng)上下載容器映像，并將其用作組織技術(shù)堆棧的一部分。在使用容器注冊(cè)表下載之前，需要進(jìn)行自動(dòng)檢查以掃描容器圖像。行動(dòng)小組可能會(huì)選擇擁有一組經(jīng)過(guò)審核的常用容器映像，開(kāi)發(fā)人員可以免費(fèi)下載這些映像。

數(shù)據(jù)庫(kù)– Redis，MongoDB，PostgreSQL

無(wú)論他們使用哪個(gè)入口點(diǎn)，數(shù)據(jù)都是黑客追求的財(cái)富。開(kāi)源數(shù)據(jù)庫(kù)的使用正在增長(zhǎng)。這包括Redis，Mongo，PostgreSQL和Cassandra等數(shù)據(jù)庫(kù)。隨著這些數(shù)據(jù)庫(kù)成為公司重要信息的保管人，需要采取額外的措施來(lái)保護(hù)它們。

影響數(shù)據(jù)庫(kù)的問(wèn)題包括緩沖區(qū)溢出，SQL注入和OpenSSL配置文件的濫用。任何組織想要做的最后一件事就是在“技術(shù)新聞”欄中進(jìn)行介紹，以公開(kāi)其用戶的寶貴數(shù)據(jù)。充分保護(hù)數(shù)據(jù)庫(kù)可以避免數(shù)據(jù)泄露。

Git – GitHub，GitLab

Git作為CI / CD管道的起點(diǎn)至關(guān)重要。這激發(fā)了GitOps的實(shí)踐，在該實(shí)踐中，整個(gè)開(kāi)發(fā)流程都從Git存儲(chǔ)庫(kù)啟動(dòng)并運(yùn)行。GitHub和GitLab是兩個(gè)最受歡迎的Git平臺(tái)。大多數(shù)開(kāi)發(fā)人員使用這些平臺(tái)來(lái)存儲(chǔ)代碼并與團(tuán)隊(duì)成員進(jìn)行協(xié)作。

應(yīng)該特別注意避免對(duì)敏感信息進(jìn)行硬編碼，并使它們?cè)诖鎯?chǔ)庫(kù)中可見(jiàn)。應(yīng)該只允許已知的開(kāi)發(fā)人員提交代碼，這些代碼可以通過(guò)提交簽名來(lái)強(qiáng)制執(zhí)行。當(dāng)這些平臺(tái)用于公開(kāi)共享代碼時(shí)，請(qǐng)謹(jǐn)慎行事，以免您將專有代碼意外地暴露給外界。

如果一件事跳出了長(zhǎng)長(zhǎng)的開(kāi)源工具及其漏洞列表，那就是它們需要持續(xù)監(jiān)控。這些工具及其用戶可能會(huì)以多種方式出錯(cuò)。但是，手動(dòng)監(jiān)視這些工具不是解決方案。它需要專門(mén)構(gòu)建的安全監(jiān)視工具，該工具可以掃描用戶，數(shù)據(jù)以及這些工具的集成以識(shí)別漏洞。這可能是開(kāi)源安全工具（如Whitesource），容器運(yùn)行時(shí)安全工具（如Twistlock）和事件管理工具（如Pagerduty）的組合。依靠開(kāi)源工具作為生命線的組織需要盡一切努力來(lái)保護(hù)這些工具。