« Blog Home

JFrog Curation για κλειστά περιβάλλοντα: Πώς να μπλοκάρετε κακόβουλα πακέτα πριν μπουν στον κώδικα

by

Οι σύγχρονοι οργανισμοί χτίζουν σχεδόν κάθε προϊόν βασισμένο σε ανοιχτό κώδικα και εξαρτήσεις τρίτων. Αυτό επιταχύνει την ανάπτυξη, αλλά εισάγει επίσης μια διάσταση κινδύνου: κακόβουλα πακέτα (malwares), εκδόσεις με κρίσιμες ευπάθειες ασφαλείας, προβλήματα αδειοδότησης ή μη ώριμα και ασυντήρητα dependencies.

jfrog curation

Στις περισσότερες περιπτώσεις, τα παραδοσιακά εργαλεία ασφαλείας συναντούν το στοιχείο μόνο αφού έχει ήδη μπει στο repository, στο build ή στο pipeline.

Εδώ ακριβώς μπαίνει στο παιχνίδι το JFrog Curation : Αντί να ανακαλύπτετε εκ των υστέρων ότι ένα επικίνδυνο στοιχείο έχει ήδη μπει στον οργανισμό,
το JFrog Curation λειτουργεί στο σημείο αιτήματος και λήψης του πακέτου, μπλοκάροντας τα προβληματικά στοιχεία πριν γίνουν μέρος του κώδικα, του build ή της εφαρμογής.

Τι είναι το JFrog Curation Package και τι προσφέρει;

Το JFrog Curation είναι ένα επίπεδο governance και επιβολής πολιτικών για την κατανάλωση πακέτων ανοιχτού κώδικα και εξαρτήσεων τρίτων. Μπορείτε να το σκεφτείτε ως μια “πύλη εισόδου” για εξωτερικά πακέτα: αντί κάθε dependency να μπαίνει αυτόματα στο περιβάλλον, ο οργανισμός ορίζει κανόνες που καθορίζουν ποια πακέτα επιτρέπεται να κατέβουν, ποια πρέπει να μπλοκαριστούν και ποια απαιτούν περαιτέρω έλεγχο.

Η λύση επιτρέπει, μεταξύ άλλων:

  1. Να μπλοκάρετε πακέτα που έχουν επισημανθεί ως κακόβουλα.
  2. Να μπλοκάρετε εκδόσεις με ευπάθειες ασφαλείας σύμφωνα με το επίπεδο σοβαρότητας ή την εταιρική πολιτική.
  3. Να επιβάλετε πολιτικές αδειοδότησης.
  4. Να περιορίσετε τη χρήση πολύ παλιών, μη ώριμων ή ασυντήρητων πακέτων.
  5. Να εφαρμόσετε allowlist και blocklist ανάλογα με τις ανάγκες του οργανισμού.
  6. Να δημιουργήσετε ένα οργανωμένο audit trail για κάθε απόφαση αποκλεισμού ή έγκρισης.

Η επιχειρηματική σημασία είναι ξεκάθαρη: λιγότερη εξάρτηση από χειροκίνητες αποφάσεις, μικρότερος κίνδυνος εισαγωγής επικίνδυνων στοιχείων, και περισσότερος έλεγχος στην αλυσίδα εφοδιασμού (supply chain) του λογισμικού.

Πώς λειτουργεί το JFrog Curation σε περιβάλλον Self-Hosted / Self-Managed;

Σε περιβάλλοντα on-premises / Self-hosted που διαχειρίζονται ανεξάρτητα, το JFrog Curation ενσωματώνεται με την πλατφόρμα JFrog, και συγκεκριμένα με το Artifactory και το Xray.

Το μοντέλο είναι σχετικά απλό:

  1. Οι προγραμματιστές/τριες τραβάνε πακέτα μέσω του Artifactory (κατά τη διάρκεια builds κ.λπ.).
  2. Το JFrog Curation ελέγχει το αίτημα σε σχέση με τις πολιτικές του οργανισμού.
  3. Εάν το πακέτο πληροί τους όρους (policies) – επιτρέπεται η λήψη του.
  4. Εάν το πακέτο παραβιάζει την πολιτική, η πρόσβαση αποκλείεται πριν το στοιχείο μπει στο περιβάλλον.

Με άλλα λόγια, αντί να αρκεστεί σε μια σάρωση μετά τη λήψη, ο οργανισμός αποκτά έναν μηχανισμό πρόληψης (prevention) ήδη από το στάδιο της εισόδου.

Αυτή είναι μια ουσιαστική αλλαγή: λιγότερο “καθάρισμα εκ των υστέρων”, περισσότερη πρόληψη εκ των προτέρων.

Τι συμβαίνει στην πράξη όταν ζητείται ένα πακέτο;

Όταν ένας προγραμματιστής, pipeline ή build ζητήσει ένα dependency μέσω ενός εταιρικού repository, το σύστημα ελέγχει εάν το πακέτο:

  • Έχει αναγνωριστεί ως κακόβουλο.
  • Περιέχει ευπάθειες ασφαλείας σύμφωνα με την πολιτική.
  • Παραβιάζει πολιτικές αδειοδότησης.
  • Δεν συμμορφώνεται με πρόσθετους εσωτερικούς κανόνες που έχει ορίσει ο οργανισμός.

Εάν ισχύει μία από αυτές τις συνθήκες, η λήψη μπορεί να αποκλειστεί.

Σε ορισμένα σενάρια, είναι επίσης δυνατό να επιτραπεί η αυτόματη επιλογή μιας πιο συμβατής έκδοσης, αντί να διακοπεί ολόκληρη η διαδικασία.

Πώς λειτουργεί το JFrog Curation σε Air-Gapped περιβάλλον;

Σε περιβάλλοντα Air-gapped η πρόκληση είναι διαφορετική: δεν υπάρχει άμεση σύνδεση στο διαδίκτυο και επομένως δεν μπορείτε να βασιστείτε στην ανοιχτή πρόσβαση σε δημόσια αποθετήρια.

Σε τέτοιες περιπτώσεις, είναι σύνηθες να δουλεύουμε με μια ελεγχόμενη διαδικασία όπου τα dependencies τραβιούνται σε έναν εξωτερικό χώρο ή σε DMZ, ελέγχονται και εγκρίνονται, και μόνο τότε προωθούνται εσωτερικά στο απομονωμένο περιβάλλον.

Σε αυτό το μοντέλο, το JFrog Curation ενσωματώνεται ως μέρος του μηχανισμού ελέγχου:

  • Εξωτερικά στοιχεία τραβιούνται αρχικά σε ένα ελεγχόμενο περιβάλλον.
  • Τα στοιχεία υποβάλλονται σε σάρωση, ελέγχους πολιτικών και curation.
  • Μόνο εγκεκριμένα πακέτα προωθούνται εσωτερικά στα εσωτερικά repositories.
  • Μέσα στο απομονωμένο περιβάλλον, συνεχίζεται η δουλειά μόνο με στοιχεία που έχουν ήδη εγκριθεί.

Έτσι, ακόμη και οργανισμοί που λειτουργούν σε απομονωμένα δίκτυα μπορούν να απολαμβάνουν αυστηρό governance στα πακέτα ανοιχτού κώδικα, χωρίς να εκθέτουν το ίδιο το περιβάλλον στο διαδίκτυο.

Πώς εμποδίζει το JFrog Curation τα κακόβουλα πακέτα από το να μπουν στον κώδικα και στην εφαρμογή;

Ένα από τα μεγάλα πλεονεκτήματα του JFrog Curation είναι ότι δεν περιμένει να εμφανιστεί το πρόβλημα στην παραγωγή (production).

Αντίθετα, βοηθά στον εντοπισμό και το μπλοκάρισμα επικίνδυνων πακέτων πριν καν καταναλωθούν από τους προγραμματιστές ή από διαδικασίες CI/CD.

Αυτό περιλαμβάνει προστασία από σενάρια όπως:

  • Κακόβουλα πακέτα που ανέβηκαν σκόπιμα σε δημόσια αποθετήρια.
  • Typosquatting – πακέτα με όνομα παρόμοιο με ένα νόμιμο πακέτο.
  • Dependency confusion.
  • Εκδόσεις με επικίνδυνο κώδικα ή ύποπτη συμπεριφορά.
  • Ευάλωτες εκδόσεις με γνωστές αδυναμίες.

Η πρακτική σημασία είναι ότι ο οργανισμός μειώνει την πιθανότητα να μπει ένα κακόβουλο στοιχείο στο build, να ενσωματωθεί στην εφαρμογή και στη συνέχεια να φτάσει σε περιβάλλοντα δοκιμών (testing) ή production.

Πώς βελτιώνει το JFrog Curation την ασφάλεια και προστατεύει το περιβάλλον;

Η συμβολή του JFrog Curation δεν περιορίζεται μόνο στο μπλοκάρισμα κακόβουλων πακέτων. Βελτιώνει το συνολικό επίπεδο προστασίας σε διάφορα επίπεδα:

1. Πρώιμη πρόληψη αντί για καθυστερημένη αντίδραση

Αντί να ανακαλύψετε ένα επικίνδυνο στοιχείο αφού έχει ήδη μπει στον οργανισμό, το μπλοκάρισμα πραγματοποιείται κατά το στάδιο της κατανάλωσης.

2. Μείωση της επιφάνειας επίθεσης

Όσο λιγότερα προβληματικά στοιχεία μπαίνουν μέσα, τόσο μικρότερος είναι ο κίνδυνος για exploitation, διαρροή δεδομένων ή βλάβη στην αλυσίδα εφοδιασμού (supply chain).

3. Ενιαία επιβολή πολιτικών

Όλες οι ομάδες ανάπτυξης, σε όλα τα έργα, εργάζονται με τους ίδιους κανόνες. Αυτό είναι ιδιαίτερα σημαντικό σε μεγάλους ή αποκεντρωμένους οργανισμούς.

4. Βελτίωση της συμμόρφωσης (compliance)

Πέρα από την ασφάλεια, μπορείτε επίσης να επιβάλετε αδειοδότηση, χρήση εγκεκριμένων εκδόσεων και εσωτερικές πολιτικές σχετικά με επιτρεπόμενα και απαγορευμένα στοιχεία.

5. Διαφάνεια και έλεγχος

Με ένα οργανωμένο audit trail μπορείτε να κατανοήσετε ποιος ζήτησε τι, τι αποκλείστηκε, τι εγκρίθηκε και γιατί λήφθηκε κάθε απόφαση.

Τι ισχύει για την αδειοδότηση και την τιμολόγηση;

Η λύση Curation της JFrog παρέχεται επί πληρωμή και είναι συνήθως μέρος μιας ευρύτερης λύσης governance και ασφάλειας του software supply chain.

Το κόστος του Curation εξαρτάται από τον αριθμό των χρηστών, τον τύπο αδειοδότησης, την κλίμακα χρήσης / ανάπτυξης (deployment) και άλλα. Για να λάβετε ακριβείς τιμές και προσφορές μπορείτε να επικοινωνήσετε μαζί μας (λεπτομέρειες παρακάτω).

Πώς εξοικονομεί χρήματα το JFrog Curation και πώς μετράται το ROI;

Σύντομα
(Μπορείτε να επικοινωνήσετε μαζί μας μέσω email στο μεταξύ για περισσότερες λεπτομέρειες)

Συμπερασματικά:

Το JFrog Curation δίνει στους οργανισμούς έναν πρακτικό τρόπο να σταματήσουν να διαχειρίζονται τους κινδύνους ανοιχτού κώδικα μόνο εκ των υστέρων, και να αρχίσουν να επιβάλλουν πολιτικές ήδη από το στάδιο εισόδου του στοιχείου στο περιβάλλον. Για οργανισμούς με Self-Hosted ή Air-Gapped, αυτή είναι μια σημαντική κίνηση για τη βελτίωση της ασφάλειας, τη μείωση των κινδύνων του supply chain, την ενίσχυση του compliance και τη μείωση του λειτουργικού κόστους με την πάροδο του χρόνου.

Αντί να εντοπίζετε προβλήματα μόνο αφού είναι ήδη μέσα, μπορείτε να τα σταματήσετε εκ των προτέρων.

Η ALM Toolbox είναι ο επίσημος αντιπρόσωπος της JFrog, και παρέχει υποστήριξη και αδειοδότηση για τις λύσεις JFrog, συμπεριλαμβανομένων των Artifactory, Xray, Curation και άλλων, καθώς και βοήθεια υποδομής DevOps και DevSecOps / AppSec για τη δημιουργία μιας ασφαλούς αλυσίδας εφοδιασμού (secure supply chain) για την κατασκευή ασφαλούς κώδικα και εφαρμογών και τη σύνδεση με διαδικασίες ανάπτυξης (SDLC / ALM) και εργαλεία ανάπτυξης.
Για περισσότερες λεπτομέρειες μπορείτε να επικοινωνήσετε μαζί μας: jfrog@almtoolbox.com ή τηλεφωνικά στο 072-240-5222

Συχνές Ερωτήσεις (FAQ) για το JFrog Curation:

Μήπως το JFrog Curation αντικαθιστά το Xray;

Όχι. Το JFrog Curation προορίζεται κυρίως για πρώιμη πρόληψη στο σημείο εισόδου του πακέτου, ενώ το Xray παρέχει δυνατότητες σάρωσης, ανάλυσης και συνεχή παρακολούθηση στοιχείων που βρίσκονται ήδη στο σύστημα.

Είναι το JFrog Curation κατάλληλο και για περιβάλλον Self-Hosted;

Ναι. Αυτό είναι ένα από τα κύρια σενάρια χρήσης του, ειδικά σε οργανισμούς που χρειάζονται πλήρη έλεγχο στη διαμόρφωση του deployment, την ασφάλεια και το governance.

Μπορεί να χρησιμοποιηθεί και σε Air-Gapped;

Ναι. Αυτό γίνεται συνήθως μέσω μιας ελεγχόμενης διαδικασίας άντλησης στοιχείων, δοκιμής, σάρωσης και προώθησης εγκεκριμένων πακέτων στο απομονωμένο περιβάλλον.

Μήπως η λύση βλάπτει την εμπειρία των προγραμματιστών;

Όταν η πολιτική έχει οριστεί σωστά, το αποτέλεσμα είναι συνήθως το αντίθετο: λιγότερες καθυστερημένες εκπλήξεις, λιγότερες αντικαταστάσεις dependency υπό πίεση χρόνου και μεγαλύτερη βεβαιότητα για το τι επιτρέπεται να καταναλωθεί.

Είναι δυνατόν να επιβληθούν πολιτικές αδειοδότησης και όχι μόνο ασφάλειας;

Ναι. Ένα από τα πλεονεκτήματα του JFrog Curation είναι η ικανότητα συνδυασμού κριτηρίων ασφαλείας, αδειοδότησης, governance και ενιαίων εταιρικών πολιτικών.

Για ποιους είναι ιδιαίτερα κατάλληλη αυτή η λύση;

Σε οργανισμούς που αναπτύσσουν λογισμικό με γρήγορους ρυθμούς, καταναλώνουν πολύ ανοιχτό κώδικα, λειτουργούν υπό ρυθμιστικό πλαίσιο, χρησιμοποιούν Self-Hosted ή Air-Gapped υποδομές και θέλουν να σταματήσουν τους κινδύνους όσο το δυνατόν νωρίτερα.

Το άρθρο γράφτηκε από τον Tamir Gefen, ALM Toolbox.