“你们拥有力量、能力和责任,来加强美国人赖以生存的关键服务和技术的网络安全和弹性。我们需要每个人都尽自己的一份力量,应对我们这个时代最确定的威胁之一——你们今天的警惕和紧迫性可以预防或减轻明天的攻击。”
这是拜登总统在最近关于美国网络安全的声明中所说。 该声明旨在警告技术部门(公共和私营部门)防范潜在的俄罗斯恶意网络活动,此前美国对俄罗斯实施了经济制裁,以回应乌克兰正在发生的冲突。 与此同时,开源社区目睹了 “peacenotwar” 的引入,这是一个包含恶意代码的软件包,最初旨在伤害 IP 地址位于俄罗斯或白俄罗斯的用户。 结合网络武器的现场测试来看,这种 抗议软件 的使用有力地证明了恶意行为者可利用的漏洞。 网络安全武器的扩散是一种历史模式,表明未来的攻击可能会加速。
恶意软件的真正影响范围几乎无法控制或预测,因此是对免费和开源软件 (FOSS) 的威胁,而 FOSS 是众多行业技术堆栈的基础。 为了保护其数字领域,并保持与开源相关的经济性、灵活性和无限的技术进步机会,公司必须比以往任何时候都更加重视安全性。 为了支持这种加强防御的努力,技术和开源领域中拥有资源在其产品中构建日益复杂的安全功能的实体有责任这样做。
Anaconda 一直秉持着对安全的承诺,正如 Conda 签名验证、CVE 管理 等产品发布所证明的那样。 我们还利用我们作为数据科学思想领导者的角色来讨论开源安全的重要性以及 如何应对它。 然而,上述世界事件使国家响起了对更多安全、更好安全和快速安全的需求——Anaconda 正在响应这一号召。 以下是我们正在积极行动以加强我们的产品和服务并在当前网络安全威胁中保护商业用户的一些方式。
1. 我们正在增加对云端解决方案的关注。
我们最近推出了 Anaconda Business 计划,这是一种新的云端产品,使公司能够从源头上降低开源漏洞风险,确保开源许可合规性,并访问和分发仅限批准的软件包,供其团队使用。 我们很高兴扩大对 Anaconda 经过策划的高保真安全信息的访问,以帮助更多客户 在云端保护其开源管道。
2. 我们正在将一个开源项目转变为高级漏洞扫描器。
收集有关依赖项及其可能传递引入的更改的信息可以帮助团队确定特定依赖项是否 “安全” 可用。 在 Anaconda,我们正在构建 Scorecards 和 deps.dev 等工具,以便用户可以评估依赖项,从而评估风险和相应的传递更改。
3. 我们正在投入更多资源进行 CVE 管理。
在 这份拜登-哈里斯政府情况说明书 中,鼓励公司 “确保 [他们的] 系统已修补并受到保护,免受所有已知漏洞的侵害”。 Anaconda 正在继续通过 CVE 管理帮助客户识别和管理漏洞。
虽然策划开源 CVE 以生成可操作的高保真安全报告是一项耗时的任务——这可能就是为什么这项服务没有大量提供的原因——但 Anaconda 认为这至关重要。 因此,我们提供人工 CVE 管理,以支持我们的客户群继续使用开源。 Anaconda 的管理团队审查由 NVD 报告的带有 CVE 标记的软件包,管理 CVE 状态和评分,然后更新 CVE 并通知用户最新版本已修补且可以安全使用。
4. 我们正在为工具和服务生成软件物料清单 (SBOM)。
Anaconda 根据不断发展的安全标准和关于在敏感环境中使用开源的最佳实践,为客户生成 SBOM。 我们的 SBOM 根据 软件数据包数据交换 (SPDX) 规范构建,非常重要,因为它们提供了对软件组件的可见性,有助于了解潜在的风险因素以及在出现问题时更快的反应时间。
5. 我们正在对我们的网络采用零信任方法。
我们的团队正在努力保护 Anaconda 基础设施和构建流程。 虽然 Conda 签名验证(我们的端到端信任链令牌)已经使用户能够验证从我们的专业仓库安装的软件包与在 Anaconda 的安全构建网络上构建的软件包完全相同,但我们同时采用了远程优先的文化。 随着我们的软件包构建和基础设施团队在分布式地点规模扩大,我们正在投入更多资源来简化软件包从创建到安装之间的人工接触点数量。
此外,ISO 27001 认证将在未来几个月内来到 Anaconda。
6. 我们提供免费安全咨询。
在有限的时间内,Anaconda 正在提供免费的 30 分钟安全咨询! 这些专家主导的咨询包括通话前调查,然后分析组织当前的情况,概述安全最佳实践,以及根据这些最佳实践建议的后续步骤。
点击此处安排免费咨询。
为了保护国家的数字利益并维护对开源创新的访问,加倍投入网络安全绝非易事,但我们将继续与我们的客户合作,努力实现这一目标。 在开源漏洞和技术领域威胁可能令人感到复杂的迷宫中,Anaconda 仍然致力于为我们的整个社区的利益,为我们的产品和服务注入简单性、易用性,当然还有安全性。 请关注我们的博客,了解更多新闻,因为我们将继续适应不断变化的网络安全形势。
