快速发布谁与争锋企业级DevSecOps开源治理方案演进之路THESPEAKER 云计算平台 生命周期管理 容器化 持续交付-DevOps 社区实践ArchSummit，DevOpsSummitDevOpsDays，Qcon大会嘉宾 JFrog中国解决方案架构师刘永强 DevSecOps闭环 CreatePlan PreprodVerifyConfigureDetect RespondPredictContinuousIntegrationContinuousMonitoringMonitoringAndAnalyticsMonitoringAndAnalyticsContinuousImprovementContinuousDeploymentContinuousConfigurationContinuousLearningDevOps Continuous DeliverySec开源!= 安全n开源组件几乎没有安全测试n提供方没有安全意识n安全问题需要投入更多的研发成本n组件使用者不关心第三方组件代码n一个漏洞，影响范围广n开源社区分享精神，维护者轻易把项目管理权交给其它人员n黑客的目标一般是开源组件n78％的漏洞存在于间接依赖关系中n2000年～2020年社区发展n商业软件依赖开源(被动依赖)nLinux: redhat,SusenOpenstacknKubenatesnHadoop 商业!= 安全 nSelfnNode_modulesnLinuxnNode.jsnLandscapenKubernetes我们的代码<0.1%在整个软件中 51.9%25.7%3.8%18.5%开源不等于安全Npm：event-stream事件event-stream包是一个Node.js流数据的JavaScript软件包。起因是event-stream 项目的作者由于时间和精力有限，将其维护工作交给另一位开发者Right9ctrl，该开发者获得了event-stream的控制权，将恶意代码注入。注入的恶意代码将会窃取比特币用户钱包内的私钥并发送至一个域名。 n周下载量在200万+次n持续时间为2.5个月n大约2000万+次的下载量n其他开源组件也有依赖各种语言的漏洞情况 30%Docker镜像包含已知漏洞14%Npmpackage包含已知漏洞59%Maven已发现漏洞仍未修复 54％开源软件安全漏洞风险2019 开源安全报告（Snyk）：开发者安全技能短板明显，热门项目成漏洞重灾区！ApacheCommonsSpring框架（版本未指定）ApacheXMLXalan-Java（2.7.1）Node.js（版本未指定）FreeBSD（版本未指定）Zlib（1.2.8）SunJava平台标准版（JRE）（J2RE）（版本未指定）zlib（版本未指定）SunJava平台标准版SDK（J2SDK）（JDK）SunJava平台标准版开放BSDSunJava平台标准版已发现十大高风险组件9.36%的代码库6.54%5.30%5.12%4.95%4.77%4.24%4.06%3.89%3.18%攻击者继续利用未打补丁的软件对重要的基础设施组织进行攻击。根据US-CERT的统计，多达85%的有针对性的攻击是可以预防的。传统第三方依赖安全管理痛点RegistertoSecurityAlertsPlatformSpecificUbuntuNode.jsOpenSSL（yourvendorseclist）BroadListsUS-CERTNVDOSVDB