“你们拥有力量、能力和责任,可以加强美国人所依赖的关键服务和技术的网络安全和弹性。我们需要每个人都尽自己的一份力量来应对我们时代最具决定性的威胁之一——你们今天的警惕和紧迫性可以预防或减轻明天的攻击。”
这是拜登总统最近在声明中关于美国网络安全的讲话。该声明旨在警告技术领域的个人——包括公共和私人部门——注意俄罗斯可能实施的恶意网络活动,这是美国对俄罗斯因乌克兰冲突而实施的经济制裁的回应。除了这种威胁,开源社区还目睹了“peacenotwar”的出现,这是一个包含恶意代码的软件包,最初旨在伤害俄罗斯或白俄罗斯的 IP 地址用户。结合网络武器的实地测试来看,这种抗议软件的应用证明了恶意行为者可以利用的漏洞。网络安全武器的扩散是一种历史模式,表明攻击可能会在未来几年加速。
恶意软件的真实影响几乎无法控制或预测,因此对众多行业技术堆栈的基础——免费和开源软件 (FOSS) 构成了威胁。为了保护其数字领域,并保持与开源相关的可承受性、灵活性以及无限的技术进步机会,企业必须比以往任何时候都更加重视安全。为了支持这种加强安全性的努力,技术和开源领域内拥有资源在其产品中构建越来越复杂的安全性功能的实体有责任这样做。
我们 Anaconda 一直致力于安全,这一点从诸如Conda 签名验证、CVE 治理等产品发布中可以看出。我们还利用自己作为数据科学思想领袖的角色,讨论开源安全的必要性以及如何进行开源安全。但是,上述世界事件让全国都呼吁加强安全,提升安全,并且要快——而 Anaconda 正在回应这一呼吁。以下列出了我们为加强产品和服务,并在当前网络安全威胁中保护商业用户的几种方式。
1. 我们正在增加对云解决方案的关注。
我们最近推出了 Anaconda 的商业计划,这是一项新的基于云的提供服务,允许企业从源头减少开源漏洞风险,确保开源许可合规性,以及访问和分发经过批准的软件包供其团队使用。我们很高兴能够扩展对 Anaconda 经过精心策划、高保真安全信息的访问权限,帮助更多客户在云中保护其开源管道。
2. 我们正在将一个开源项目转变为高级漏洞扫描仪。
收集有关依赖项以及它们可能传递性引入的更改的信息可以帮助团队确定特定依赖项是否“安全”可用。在 Anaconda,我们正在构建Scorecards和deps.dev等工具,以便用户能够评估依赖项,从而评估风险和相应的传递性更改。
3. 我们正在投入更多资源到 CVE 治理中。
在拜登-哈里斯政府的这份情况说明书中,鼓励企业“确保其系统已打补丁并受到所有已知漏洞的保护”。Anaconda 继续通过 CVE 治理帮助客户识别和管理漏洞。
虽然为生成可操作且高保真的安全报告而对开源 CVE 进行治理是一项耗时的工作——这可能是这项服务没有被广泛提供的原因——但 Anaconda 认为它至关重要。因此,我们提供人工 CVE 治理,以支持客户持续使用开源。Anaconda 的治理团队审查由NVD 报告的 CVE 的标记软件包,治理 CVE 状态和分数,然后更新 CVE 并通知用户最新的版本已修补并可以安全使用。
4. 我们正在为工具和服务生成软件物料清单 (SBOM)。
Anaconda 按照围绕在敏感环境中使用开源的不断发展的安全标准和最佳实践,为客户生成SBOM。我们的 SBOM 按照软件包数据交换 (SPDX) 规范构建,非常重要,因为它们提供对软件组件的可见性,方便了解潜在的风险因素,并在出现问题时更快地做出反应。
5. 我们正在对我们的网络采用零信任方法。
我们的团队正在努力保护 Anaconda 基础设施和构建流程。虽然 Conda 签名验证 (我们的端到端信任链令牌) 已经允许用户验证从我们的专业存储库安装的软件包与 Anaconda 安全构建网络上的构建完全一致,但我们同时采用了远程优先的文化。随着我们的软件包构建和基础设施团队在分布式位置扩大规模,我们正在投入更多资源,以简化软件包创建和软件包安装之间的接触点数量。
此外,ISO 27001 认证将在未来几个月内加入 Anaconda。
6. 我们正在提供免费的安全咨询服务。
在有限的时间内,Anaconda 提供 30 分钟的免费安全咨询服务!这些专家主导的咨询服务包括电话前调查,之后会对组织的现状进行分析,概述安全最佳实践,并提出符合这些最佳实践的建议下一步措施。
点击此处安排免费咨询。
加倍努力加强网络安全,以保护国家数字利益并保持对开源创新的访问权限,并非易事,但我们将继续与客户携手努力,实现这一目标。在围绕开源漏洞和技术领域威胁的复杂迷宫中,Anaconda 始终致力于为我们的整个社区提供简单、便捷以及当然的安全产品和服务。请关注我们的博客,了解我们不断适应不断变化的网络安全环境的最新消息。
