“你们有权力、有能力、也有责任加强美国人所依赖的关键服务和技术的网络安全和弹性。我们需要每个人都尽自己的一份力量来应对我们这个时代的决定性威胁之一——你们今天的警惕和紧迫感可以预防或减轻明天的袭击。”
拜登总统在最近的一次讲话中如是说声明在美国的网络安全。该声明是为了警告公共和私人技术部门的人,在美国对俄罗斯实施经济制裁以回应乌克兰持续的冲突之后,提防潜在的俄罗斯恶意网络活动。除了这种威胁,开源社区还见证了“peacenotwar这是一个包含恶意代码的软件包,最初旨在伤害位于俄罗斯或白俄罗斯的IP地址用户。与网络武器的实地测试相结合protestware这是恶意行为者可利用的漏洞的有力证明。网络安全武器的扩散是一种历史模式,表明攻击可能在未来几年加速。
恶意软件的真正传播范围几乎是无法控制或预测的,因此是对自由和开源软件(FOSS)的威胁,而自由和开源软件是众多行业技术栈的基础。为了保护他们的数字领域,并保持与开源相关的可负担性、灵活性和无限的技术进步机会,公司必须比以往任何时候都更加重视安全。为了支持这种强化的推动,在技术和开源领域内拥有资源的实体有责任在他们的产品中构建越来越复杂的安全特性。
我们在Anaconda一直保持对安全的承诺,从产品发布中可以证明Conda签名验证,CVE帘,等等。我们还利用我们作为数据科学思想领袖的角色来讨论开源安全和技术的重要性如何处理它.然而,前面提到的世界大事,使这个国家响起了要求更多的安全,更好的安全,更快的呼声——水蟒正在响应这一呼吁。在当前的网络安全威胁中,我们将通过以下几种方式加强我们的产品和服务,保护商业用户。
1.我们越来越关注基于云的解决方案。vwin德赢App下载苹果
我们最近推出了蟒蛇业务这是一种基于云计算的新产品,它允许公司从源头上降低开源漏洞风险,确保开源许可的符合性,并访问和分发仅获批准的包,供整个团队使用。我们很高兴能够扩展Anaconda精心策划的、高保真的安全信息,以帮助更多客户保护他们在云中的开源管道。
2.我们正在将一个开源项目转变为一个高级漏洞扫描器。
收集关于依赖项和它们可以传递引入的更改的信息可以帮助团队决定特定的依赖项对于使用是否“安全”。在Anaconda,我们正在开发工具,比如记分卡而且deps.dev因此,用户可以评估依赖关系,以评估风险和相应的传递性更改。
3.我们在CVE策划上投入了更多的资源。
在拜登-哈里斯政府的情况说明在美国,鼓励企业“确保(他们的)系统打了补丁,免受所有已知漏洞的侵害”。Anaconda将继续通过CVE管理帮助客户识别和管理漏洞。
虽然策划开源cve以生成可操作的和高保真的安全报告是一项耗时的工作——这可能就是为什么该服务没有大量提供的原因——anaconda认为这是最重要的。因此,我们提供人工CVE管理,以支持我们的客户基础继续使用开源。Anaconda的策展团队审查带有cve的标记包NVD,管理CVE的状态和评分,然后更新CVE,并通知用户最新版本已经打了补丁,可以安全使用。
4.我们正在为工具和服务生成软件材料清单(SBOM)。
蟒蛇生成SBOMs根据不断发展的安全标准和围绕在敏感环境中使用开源的最佳实践,提供给客户。按照…建造软件包数据交换(SPDX)规范中,我们的soms非常重要,因为它们提供了软件组件的可见性,促进了对潜在风险因素的认识,并在出现问题时加快了反应时间。
5.我们对我们的网络采取零信任的态度。
我们的团队正在努力保护Anaconda基础设施和构建流程。虽然Conda签名验证(我们的端到端信任链令牌)已经允许用户验证从我们的专业存储库安装的包与在Anaconda的安全构建网络上构建的包完全一致,但我们同时采用了远程优先的文化。随着我们的包构建和基础设施团队在分布式位置上的规模不断扩大,我们正在投资额外的资源来简化包初始和包安装之间的人员接触点的数量。
此外,ISO 27001在接下来的几个月里,Anaconda将获得认证。
6.我们提供免费的安全咨询。
在限时内,Anaconda将提供免费的30分钟安全咨询!这些专家主导的协商包括电话前调查,随后是对组织现状的分析,安全最佳做法的概述,并根据这些最佳做法提出下一步的建议。
点击在这里安排一次免费的咨询。
在网络安全方面加倍努力,以保护国家的数字利益,并保持对开源创新的获取,这是一个不小的成就,但我们将继续与我们的客户合作,做到这一点。在围绕着开源漏洞和技术部门威胁的复杂迷宫中,Anaconda仍然致力于为我们的产品和服务注入简单、轻松,当然还有安全,以造福我们整个社区。当我们继续适应不断变化的网络安全环境时,请关注我们的博客以获取更多的新闻。