Soluzione per Enterprise SW Eng. con Github e NPM [chiuso]

3

Qualcuno può condividere un'architettura o un framework che supporti l'uso del software Open Source negli ambienti di sviluppo del software aziendale?

Sto cercando soluzioni per gestire e mitigare il rischio di librerie e dipendenze compromesse in CRAN e NPM.

Sto cercando architetture di riferimento per soddisfare i professionisti IT Security, consentendo agli sviluppatori di sfruttare la potenza dei repository pubblici e dei gestori di pacchetti (con la loro risoluzione delle dipendenze).

Pur riconoscendo che questo è un altro vettore di attacco, cerco soluzioni pratiche / esempi / strumenti che aiutino a trovare un equilibrio ragionevole.

Ho sentito parlare dei mirror interni del repository; Sandbox per test di sicurezza, prima di promuovere la produzione; Piattaforme di integrazione continua ecc.

Qual è lo stato del pensiero corrente tra la comunità della sicurezza e quali sono le migliori pratiche?

Grazie

    
posta Colin 19.10.2015 - 18:12
fonte

1 risposta

3

La risposta è che molte organizzazioni e aziende fanno uso di archivi pubblici (es. npm, rubygems, NuGet) ma non penso ci siano molte soluzioni ben definite per il rischio che l'uso di terze parti non certificate il codice introduce.

Un paio di opzioni per ridurre il rischio potrebbero essere

  • Specchi interni. La tua organizzazione ospita il proprio repository e seleziona attentamente i pacchetti e le versioni disponibili su di esso.
  • Librerie chiave per la revisione della sicurezza. Se ti affidi a librerie open source chiave, puoi far controllare la tua organizzazione internamente o farla eseguire da una società di consulenza di terze parti

Ulteriori dettagli su alcuni dei rischi e potenziali soluzioni qui in una conversazione che ho fatto per OWASP AppSecEU

    
risposta data 19.10.2015 - 18:24
fonte

Leggi altre domande sui tag