Jfrog-李威-软件供应链战事.pdf

1、软件供应链的战事在管理、安全、质量、分发方面提升软件研发效能李威JFrog(中国)高级解决方案架构师李威 JFrog高级解决方案架构师“”请插入您的照片讲师简介李威JFrog(中国)高级解决方案架构师、DevOps教练 DevOps咨询师、教练，曾就职于烽火、京东等企业 十余年一线开发及运维经验，带领团队从零到一实践DevOps转型 现就职于 JFrog，善于在工程实践方面引导帮助客户落地DevOps 软件研发效能权威指南联合作者 软件供应链的故事 软件供应链的管理 软件供应链的准入与安全 软件制品的分发 收益与展望目录软件供应链的故事软件供应链，需要管理么？“I dont have any

2、visibility and control over whatevers going on with the libraries inside my company.I am faced with two(bad)options:1.Let Dev continue doing what they want2.Place restrictions and slow the company velocity”-CTO/CISO of a fortune 100 我是开发人员，我在开发产品的时候，需要一个 java 组件，帮助我处理日志。我不想自己重复造轮子，希望获取一个第三方的可用的组件。背景

3、：故事的开始Log4J核弹级漏洞在2021年12月10日首次被发现2023年8月15日-11月15日间，某安全研究在3866个组织中的38278个独立应用程序使用log4j的版本进行统计，仍然有38%在使用有漏洞的版本。 直接链接互联网第三方源 网络速度限制？原站访问策略限制？企业网络访问策略限制？搭建内网私服 稳定性与性能瓶颈？多技术栈支持？维护成本？问题与挑战 受到安全与合规管控 软件供应链风险？（Log4j/Fastjson）依赖混淆攻击？供应链AI幻觉攻击？合规管控？（开源许可）分布式团队依赖协同，分发 全球研发中心软件供应链共享？跨地域传输导致构建缓慢？软件供应链管理建立单一可信源没

4、有统一管理，就无法治理。单一可信源是企业内部单一的，合规地存放所有软件的仓库包括 war 包，Docker 镜像，zip 包等，以及第三方开源组件或者商业软件的授权版本和软件物料清单（SBOM）生产区公有云服务器私有云服务器制品库管理统一管理漏洞扫描晋级开发版本库制品库管理统一管理企业单一可信制品库是软件供应链仓库，也是企业软件资产仓库。软件供应链元数据通过 CICD 度量数据展示，保障软件质量可信、可靠统一展示 DevOps 工具链所有数据，打破度量数据孤岛质量度量数据作为质量门禁，服务于CICD作为提供制品晋级依据软件供应链与DevOps工具链集成方案开发测试环境开发工具版本计划GitLa

5、bJira、需求任务、缺陷SonarJenkins代码审查Jira版本 交付交付文档Artifactory（开发-daily）Artifactory(开发-Release)Artifactory(开发-Delivery)部署平台（开发）测试服务器生产环境Artifactory(生产-Prod)ITIL应用变更ERP上线签报部署平台（生产）生产服务器堡垒机开发人员项目经理代码Push关联ISSUE ID关联ISSUE ID静态扫描、覆盖率ReleaseJob触发制品上传ReleaseRelease回写测试结果自动化部署自动化测试监控数据运维人员关联交付单监控数据制品、配置部署同步关联签报号关联签

6、报号关联制品和需求 ID晋级Artifactory（开发-Dev）mvn/npm/go/rustdependency获取依赖软件供应链管理架构软件供应链准入与安全治理软件供应链的安全问题PLANCODEBUILDTESTRELEASEDEPLOYOPERATEMONITORIDE SECURITY INTEGRATIONSECURE RELEASE&DISTRIBUTIONSECURITYIN CI/CDPRODUCTIONMONITORINGComponentsLibrariesBaseOS我们的 code大部分的软件包含 80%-90%开源组件2021 年全球发生的软件供应链攻击事件比前一