管理开源软件并不需要很痛苦。就像健康一样,预防方法可以帮助加强整体计划并避免紧急情况。Revenera 产品管理高级总监 Alex Rybak 提供了软件公司可以回答的问题,以检查其程序的运行状况。
从 0 到 10,你如何给你的疼痛打分?
有可能,医疗专业人员在健康检查场景中问过这个问题。对于让您进入急诊室的严重问题,您很有可能将剧烈或搏动性疼痛评为大约 7 或更高。如果您在初级保健医生的办公室寻求喉咙痛的帮助,也许这种疼痛只是一种钝痛——二度痛。如果您在预防保健访问期间完全没有疼痛要报告,则为零。
当谈到与管理开源软件 (OSS) 程序相关的潜在痛苦时,许多软件公司可以对类似的痛苦量表做出反应。当发现漏洞时,您的团队很可能会感到痛苦,尤其是当您争先恐后地确定自己是否受到影响以及受影响的位置时。但软件组合分析 (SCA) 的过程是关于防止中断——从根本上减轻跟踪和维护软件中使用的所有组件的不适感,减轻 OSS 和第三方组件带来的风险和风险,并修复发现的问题尽可能无痛。
您的医生旨在实现零疼痛。您的开源管理工作应该以尽可能低的分数为目标。以下是 SCA 可以帮助简化您的程序并缓解常见疾病的几种方法。
作为预防的软件组合分析
SCA 的一切都与预防有关:消除漏洞和安全风险、管理许可合规性、避免软件开发生命周期 (SDLC) 中断,以及保护企业销售创新产品的能力。对 SCA 的需求仅在最近几年才有所增长,特别是考虑到美国正在制定有关保护软件供应链的指导方针。这些指南的关键要素之一是生成和维护完整且准确的软件物料清单 (SBOM)。SBOM 允许您对组织构建的应用程序和/或您的应用程序使用的企业应用程序中的 SBOM 部件(成分)进行分类,以便能够评估新报告的安全漏洞对整个组织的影响。
最终,这种对风险管理和风险规避的关注有助于推动更高的投资回报 (ROI),无论投资是及时、资源、人员、预算还是减少诉讼成本。随着 SCA 程序的成熟,评估指标可以帮助确保您对您的软件和整个业务采取适当的预防措施。
检查你自己的程序
正如我之前所写,无论您处于软件供应链的哪个位置,采取积极主动的方法都有很多好处。该过程的一部分是获得您的团队今天表现如何的基线。为避免与发现代码中的漏洞相关 的剧烈痛苦和中断,请向您的团队提出以下问题,以了解您的表现如何。
根据成熟的程序或漏洞评估/修复周期后的近期经验,也许其中一些问题很容易回答。如果您还没有这些问题的准确答案,花时间回答这些问题将使您的流程更加清晰,并确定在您的计划成熟时需要解决的差距。
您对以下各项的回答将有助于评估您的准备情况。他们将突出您的痛点——改进的空间——以及预防方法如何帮助您的组织整体。您使用的指标越具体(例如,小时数、天数、员工数、美元等),您的答案对您的业务目标的可操作性就越高。
您的工程团队需要多长时间才能确定您是否在使用特定的开源组件?发现漏洞时,速度至关重要,但这里的答案可能会有很大差异,具体取决于您的流程是主要是自动化还是手动。例如,一旦你对一个组件进行了编目,数量(时间量)应该永久性地大幅减少。但是,如果您没有主动对您的使用进行分类,则可能会进行防火演习以识别所有潜在的暴露。
您认为需要多长时间?理想情况下,当下一个重大漏洞被发现时,您的团队不会对您的暴露情况一无所知。如果您对 #1 的回答效率低下,将资源从其他优先事项中抽走,或者让您的企业面临不可接受的开源风险,请确定该指标的有时限目标。您是否需要将当前答案大幅缩短几周或几天,或者只是缩短几个小时?您所期望的减少幅度将有助于确定您要采取的步骤。
您使用什么机制来确定开源组件在您的软件产品中的使用位置?这些可能包括电子表格、SCA 扫描工具、检查您从软件供应商处收到的外部 SBOM 或其他手动流程。包括所有相关人员和使用的所有资源。
您的手动流程效果如何?包括涉及的人员或部门的数量。确定瓶颈以确定提高效率的领域。
您可以自动化什么来最大限度地提高团队的效率?当程序员为了被动地手动评估新安全问题的影响而放弃高价值工作时,会对产品开发计划产生非常真实且潜在的负面影响。考虑自动化 SCA 工作如何提高效率,使您能够将现有员工的时间重新集中在各种优先事项上。
谁会通过改进识别开源组件的过程而受益?全面了解您的组织。每个人都有责任确保您的产品/组织不会成为下一个开源灾难的根源或成为头版头条新闻,或者向美国参议院解释消除漏洞可能需要多长时间。该列表可能包括软件开发人员、法律团队、您的首席信息安全官 (CISO)、首席营收官 (CRO)、您的开源项目办公室 (OSPO) 以及任何其他指望分发安全产品的利益相关者您组织的收入、风险敞口和声誉。
为下一个漏洞建立弹性
正如倾听和照顾您的身体对整体健康至关重要一样,这同样适用于您的开源程序。效率可以随着经验和软件组合分析的综合方法而提高。最重要的是,您实施的任何流程都需要随着时间的推移变得连续。循环的频率不如继续处理该过程并随着时间的推移增加频率重要。
高效、有弹性的计划的一大好处是:它可以释放资源,尤其是员工时间,以便将它们用在能带来最大价值的地方。这种方法使您的组织能够专注于创新产品开发工作和进一步的公司目标。员工可以专注于编写代码,而不是跟踪开源、修复问题或管理痛苦和不适。
亚历克斯·雷巴克: Revenera 产品管理高级总监
Alex Rybak 是 Revenera 的产品管理高级总监,专注于他们的软件组合分析 (SCA) 解决方案。他还负责领导 Revenera 的开源项目办公室 (OSPO),并且是内部网络安全和事件响应团队的成员。
