艾體寶方案 | 管理開源軟件包更新，提升開源安全性

摘要： 文章介紹了Mend.io如何通過其Smart Merge Control功能增強開源軟件的安全性?，F(xiàn)代應(yīng)用程序高度依賴開源軟件，但這也增加了潛在的安全漏洞。Mend SCA的增強功能允許開發(fā)者基于“合并信心”值來管理更新，這個值反映了Mend.io對特定更新能夠成功合并到應(yīng)用程序的信心。這個信心值是通過監(jiān)測大量開發(fā)者使用Mend Renovate（一個自動化依賴更新工具）時的拉取請求成功情況來眾包的。Smart Merge Control使得開發(fā)者能夠基于更新的可靠性來選擇是否接受更新，從而簡化了依賴管理過程，提高了應(yīng)用程序的安全性。

簡介： Mend.io的Smart Merge Control功能通過自動化和眾包的方式，幫助開發(fā)者更有信心地管理開源軟件的依賴更新，從而提升應(yīng)用程序的安全性。這一創(chuàng)新工具利用Mend Renovate的大量數(shù)據(jù)，為開發(fā)者提供了一個基于合并成功率的信心評分系統(tǒng)，使得依賴更新過程更加高效和可靠。

現(xiàn)代應(yīng)用程序在很大程度上依賴于開源軟件，大多數(shù)企業(yè) 80% 的應(yīng)用程序和代碼庫都是開源的，在某些情況下甚至更多。雖然這對快速開發(fā)和創(chuàng)新有很大好處，但也增加了別有用心之人利用漏洞的可能性，擴大了潛在的攻擊面。

這些代碼庫中大量使用了開源組件，為了維護應(yīng)用程序的穩(wěn)健安全，開發(fā)人員和安全團隊必須與快速更新的代碼庫保持同步——但他們?nèi)绾尾拍艽_信自己做到了這一點呢？現(xiàn)在，Mend.io 有了答案，Mend SCA 的增強功能讓您可以享受完全自動化的開源軟件包更新流程，并對這些更新的成功率充滿信心。

一、挑戰(zhàn)

1、過時依賴項埋伏安全隱患

開發(fā)人員和安全專業(yè)人員都認為，如果使用最新的依賴項，應(yīng)用程序就會更加安全，但說起來容易做起來難。部分原因是依賴項越來越多，更新也越來越頻繁，而且這種趨勢沒有逆轉(zhuǎn)的跡象。隨著依賴項和潛在更新數(shù)量的激增，人工檢查的方法越來越行不通，需要進行 "分流"，而這種 "分流 "會忽略許多更新，并以過時依賴項的形式開始積累安全隱患。

自動化測試和修復(fù)對于緩解這個問題大有幫助。像 Mend Renovate 機器人這樣的工具開創(chuàng)了“依賴自動化”時代，并已被許多高性能開發(fā)團隊采用。然而，即使實現(xiàn)了項目級自動化，保持最新狀態(tài)仍然需要開發(fā)人員花費大量時間。項目團隊缺乏強大的測試套件，可能會對更新依賴項感到不確定，因此與其他團隊相比變得越來越過時。

2、手動測試和部署效率低

此外，大多數(shù)應(yīng)用程序的測試水平不足以依賴自動測試和部署。即使有，大多數(shù)公司也不會測試外部依賴項的內(nèi)部運行問題。因此，很難相信外部依賴項的更新是否會破壞應(yīng)用程序。這就導致了需要手動測試，增加了開發(fā)人員的開銷，并減慢了更新依賴關(guān)系的進程。
Renovate 可生成大量更新，要手動測試和部署所有更新可能會讓人不知所措?，F(xiàn)有的分組機制可以提供幫助，但無法消除不信任更新的問題，因為不信任更新會導致整組更新失效。

因此，項目往往會因為對項目測試缺乏信心和缺乏審查更新的資源而導致依賴性更新滯后，這樣一來，未來出現(xiàn)安全問題的風險就會增加。

二、需求

因此，當下的改進方向顯然是簡化和加速更新依賴關(guān)系的流程。它必須易于使用，且必須使開發(fā)人員能夠接受更新并盡可能快速、輕松地應(yīng)用有價值的安全問題修復(fù)程序，從而使他們的工作更加高效。這樣的解決方案將提升應(yīng)用程序的安全狀況，因為它將：

• 為已采用依賴自動化的項目節(jié)省大量時間和資源
• 降低其他項目采用依賴自動化的門檻
• 讓你了解最新的依賴關(guān)系，這是做好準備應(yīng)對開源安全漏洞的最佳方式

三、解決方案—Mend SCA 智能合并控制功能

Mend SCA 現(xiàn)在允許開發(fā)人員根據(jù) "合并信心 "值管理更新，從而解決了這些問題。"合并信心 "值表示 Mend.io 對給定更新在不破壞構(gòu)建的情況下合并到應(yīng)用程序的信心。

這個置信度值是從大量使用 Mend Renovate（世界上最流行的自動依賴關(guān)系更新機器人）的開發(fā)者那里獲得的，是通過監(jiān)控包含每個特定更新的拉取請求的成功率生成的。這樣做的目的是，從統(tǒng)計學角度看，一個不當更新會導致相當數(shù)量的項目失敗，而 Mend.io 可以將該更新標記為 "低 "置信度。多次合并成功的更新將產(chǎn)生 "高 "或 "非常高 "的合并置信度。而那些比較新的更新，或者我們沒有足夠信心數(shù)據(jù)的更新，則會被標記為 "中性"。隨著時間的推移，收集到的數(shù)據(jù)會越來越多，置信度也會從 "中性 "逐漸過渡到 "低"、"高 "或 "非常高"。

四、智能合并控制的優(yōu)勢

MCW 增強功能使開源軟件包更容易保持最新。這對開發(fā)人員來說意義重大，因為他們可以利用 Mend.io 的合并可信度評分來減少保持最新所需的工作量。即使是一個小型應(yīng)用程序，也很容易使用大量需要定期更新的開源依賴項。如果不了解更新是否可信，就必須對每次更新進行測試。使用智能合并控制功能，開發(fā)人員可以篩選出最可信的更新并自動應(yīng)用。這大大減輕了開發(fā)人員為其應(yīng)用程序保持良好的依賴關(guān)系健康狀況的負擔。

從安全角度看，它是打擊黑客的另一種工具。MCW 使依賴程序更容易接受更新，從而使應(yīng)用程序更頻繁地獲得安全修復(fù)，隨著更新采用率的提高，應(yīng)用程序也將變得更加安全。這也意味著更新會更快地被應(yīng)用，因此攻擊者利用每個已發(fā)現(xiàn)漏洞的時間就會更短。此外，技術(shù)債務(wù)的減少意味著安全管理人員將更有信心，相信開發(fā)人員能夠?qū)ξ磥砜赡馨l(fā)生的任何緊急漏洞公告做出快速反應(yīng)，而不會破壞他們的應(yīng)用程序。

MCW 為用戶帶來的主要利益：

五、MCW 將 Mend SCA 自動依賴性更新提升到新水平

幾年來，Mend SCA 一直是開源安全的黃金標準。我們的主要工作是檢測漏洞，并幫助開發(fā)人員高效地修復(fù)漏洞。近年來，我們率先推出了自動拉取請求、提交時掃描、可達性路徑分析等功能。我們與 DevOps 工具鏈（也稱為 DevSecOps）的集成能力為我們贏得了許多大客戶的青睞。最近，我們發(fā)布的研究報告顯示，將 Mend SCA 與其代碼庫集成的客戶，其平均修復(fù)時間（MTTR）縮短了 74%，在任何給定時間內(nèi)修復(fù)的漏洞數(shù)量增加了三倍。

現(xiàn)在，我們在 Mend SCA 中增加了自動依賴性工作流，從而提高了軟件構(gòu)成分析的標準。我們相信，盡管許多依賴關(guān)系更新與漏洞管理并無具體關(guān)系，但這將帶來巨大的安全價值。

開發(fā)人員越容易更新其應(yīng)用程序中的依賴關(guān)系，應(yīng)用程序就會收到越多的更新，因組件過時而積累的安全隱患也就越少。自動化緩解了對耗時和繁瑣的人工依賴性測試的依賴。

Mend SCA 現(xiàn)在提供了一套豐富的功能，允許開發(fā)人員配置更新的交付方式，幫助他們管理維護依賴關(guān)系健康這一原本艱巨的任務(wù)。