Enterprise SWEngのソリューション。 GithubとNPMを使用
エンタープライズソフトウェア開発環境でのオープンソースソフトウェアの使用をサポートするアーキテクチャまたはフレームワークを共有できる人はいますか?
私は、CRANとNPMのライブラリと依存関係が危険にさらされるリスクを管理および軽減するためのソリューションを探しています。
私は、開発者がパブリックリポジトリとパッケージマネージャーの能力を(依存関係の解決とともに)活用できるようにしながら、ITセキュリティの専門家を満足させるリファレンスアーキテクチャを探しています。
私はこれがさらに別の攻撃ベクトルであることを認めていますが、合理的なバランスを取るのに役立つ実用的な解決策/例/ツールを探しています。
内部レポミラーについての言及を聞いたことがあります。本番環境に昇格する前のセキュリティテスト用のサンドボックス。継続的インテグレーションプラットフォームなど。
セキュリティコミュニティの現在の考え方はどのようなもので、ベストプラクティスはありますか?
ありがとう
答えは、多くの組織や企業がパブリックリポジトリ(npm、rubygems、NuGetなど)を利用しているということですが、未監査のサードパーティコードの使用がもたらすリスクに対して明確に定義されたソリューションは多くないと思います。
リスクを軽減するためのいくつかのオプションは
- 内部ミラー。組織は独自のリポジトリをホストし、そこで使用可能なパッケージとバージョンを慎重に選択します。
- セキュリティレビューキーライブラリ。主要なオープンソースライブラリに依存している場合は、組織にセキュリティを社内でレビューさせるか、サードパーティのコンサルタントに依頼することができます。
いくつかのリスクと潜在的な解決策についてさらに詳細があります ここ 私がOWASPAppSecEUのために行った講演で