開源工具在DevOps工具鏈中占據(jù)了中心位置。隨著組織越來越依賴開源工具，影響這些工具的風(fēng)險已轉(zhuǎn)移給這些組織。為了減輕這種風(fēng)險，組織必須對開放源代碼工具進(jìn)行連續(xù)監(jiān)視。讓我們看一下開源堆棧中的各個層，并確定需要監(jiān)視的關(guān)鍵關(guān)注點(diǎn)。

Linux –內(nèi)核，Sudo

Linux在每個技術(shù)堆棧中都占有一席之地。由于其被廣泛采用，因此它是黑客的主要目標(biāo)。而且，項目的絕對復(fù)雜性和龐大性意味著漏洞不可避免地會定期發(fā)生。無論是Linux內(nèi)核還是系統(tǒng)的重要部分（如Sudo功能），Linux OS的每個部分都可能導(dǎo)致漏洞。

編程語言– JavaScript，Python，Go

我們在多元化的開發(fā)團(tuán)隊中運(yùn)作。這對開發(fā)人員來說是很棒的體驗，但是對于實(shí)施安全性來說可能是一場噩夢。每種編程語言都是由開放源代碼開發(fā)人員社區(qū)開發(fā)和維護(hù)的。他們每個人都有不同的設(shè)計理念，更新頻率和每個人獨(dú)有的漏洞。如果您的組織規(guī)模很小，并且所有開發(fā)人員都使用一種語言編寫代碼，那么您的工作就很容易，但是在大型組織中，SecOps團(tuán)隊會在監(jiān)視編程語言中的漏洞方面為他們完成工作。

編程語言中的錯誤的范圍可能從錯誤的輸入驗證到可利用的拒絕服務(wù)再到解析驗證問題。流行的編程語言（如JavaScript，Python和Go）經(jīng)常會遇到問題，盡管它們的安全團(tuán)隊始終處于活動狀態(tài)，一旦發(fā)現(xiàn)漏洞，便立即發(fā)布安全補(bǔ)丁。SecOps團(tuán)隊和開發(fā)人員仍然有責(zé)任遵循安全的編碼做法，并及時了解影響他們使用的編程語言的最新問題。

UI框架– jQuery，Angular，Bootstrap

jQuery，Angular，Vue和Bootstrap之類的Javascript框架在編程語言之上運(yùn)行，因此需要監(jiān)控的漏洞有其自己的份額。這些框架保證了易用性，但也增加了一層復(fù)雜性并增加了堆棧的攻擊面。

插件是jQuery體驗的核心，它們通常是漏洞點(diǎn)。其他威脅包括跨站點(diǎn)腳本（XSS）和內(nèi)容安全策略（CSP）繞過。結(jié)論很明顯– UI框架需要持續(xù)監(jiān)控。

容器工具– Kubernetes，Docker，容器映像

集裝箱革命席卷了發(fā)展世界。在過去的幾年中，容器工具的發(fā)展迅速。但是，快速增長還伴隨著需要彌補(bǔ)的安全漏洞。在容器堆棧中，有許多層，例如容器引擎，容器注冊表和容器編排器。它們都是潛在的漏洞來源。

影響Docker的風(fēng)險包括機(jī)密信息處理不當(dāng)，使敏感數(shù)據(jù)向未經(jīng)授權(quán)的查看者開放，以及由于CPU和內(nèi)存等資源過度消耗而導(dǎo)致的服務(wù)拒絕問題。與Docker相比，Kubernetes在容器體驗中更為重要，因此需要更加密切地監(jiān)控其漏洞。問題包括內(nèi)存泄漏和對自定義資源的未授權(quán)訪問。

除此之外，還可以從公共互聯(lián)網(wǎng)上下載容器映像，并將其用作組織技術(shù)堆棧的一部分。在使用容器注冊表下載之前，需要進(jìn)行自動檢查以掃描容器圖像。行動小組可能會選擇擁有一組經(jīng)過審核的常用容器映像，開發(fā)人員可以免費(fèi)下載這些映像。

數(shù)據(jù)庫– Redis，MongoDB，PostgreSQL

無論他們使用哪個入口點(diǎn)，數(shù)據(jù)都是黑客追求的財富。開源數(shù)據(jù)庫的使用正在增長。這包括Redis，Mongo，PostgreSQL和Cassandra等數(shù)據(jù)庫。隨著這些數(shù)據(jù)庫成為公司重要信息的保管人，需要采取額外的措施來保護(hù)它們。

影響數(shù)據(jù)庫的問題包括緩沖區(qū)溢出，SQL注入和OpenSSL配置文件的濫用。任何組織想要做的最后一件事就是在“技術(shù)新聞”欄中進(jìn)行介紹，以公開其用戶的寶貴數(shù)據(jù)。充分保護(hù)數(shù)據(jù)庫可以避免數(shù)據(jù)泄露。

Git – GitHub，GitLab

Git作為CI / CD管道的起點(diǎn)至關(guān)重要。這激發(fā)了GitOps的實(shí)踐，在該實(shí)踐中，整個開發(fā)流程都從Git存儲庫啟動并運(yùn)行。GitHub和GitLab是兩個最受歡迎的Git平臺。大多數(shù)開發(fā)人員使用這些平臺來存儲代碼并與團(tuán)隊成員進(jìn)行協(xié)作。

應(yīng)該特別注意避免對敏感信息進(jìn)行硬編碼，并使它們在存儲庫中可見。應(yīng)該只允許已知的開發(fā)人員提交代碼，這些代碼可以通過提交簽名來強(qiáng)制執(zhí)行。當(dāng)這些平臺用于公開共享代碼時，請謹(jǐn)慎行事，以免您將專有代碼意外地暴露給外界。

如果一件事跳出了長長的開源工具及其漏洞列表，那就是它們需要持續(xù)監(jiān)控。這些工具及其用戶可能會以多種方式出錯。但是，手動監(jiān)視這些工具不是解決方案。它需要專門構(gòu)建的安全監(jiān)視工具，該工具可以掃描用戶，數(shù)據(jù)以及這些工具的集成以識別漏洞。這可能是開源安全工具（如Whitesource），容器運(yùn)行時安全工具（如Twistlock）和事件管理工具（如Pagerduty）的組合。依靠開源工具作為生命線的組織需要盡一切努力來保護(hù)這些工具。