DevSecOps如何应对Log4j网络漏洞| 存 -vnsr威尼斯城官网登入

由存连线人员| 5分钟阅读| 2022年1月25日

存连线采访了Marty Mroz, 存企业开发运营董事总经理, 和马克·马斯里, 存企业开发运营执行董事, 讨论公司的IT部门如何在12月保持对Log4j漏洞的控制, 保护客户和vnsr威尼斯城官网登入行业免受Java应用程序有史以来面临的最大威胁.

“在危机时刻, 当像存这样具有系统重要性的公用事业公司面临着确保我们的金融体系保持安全和稳定的压力时, 这是自动化的, 非常高效。, 以及由存的信息技术能力提供的可重复过程，这些能力混合了开发, 安全, 以及产生重大影响的操作.——存企业vnsr威尼斯城官网登入和平台工程董事总经理Anchal Gupta

DC: 存需要采取哪些措施来应对这一威胁?

马斯里: 在存，我们敏锐地意识到不断变化的网络安全风险，我们站在保护全球金融市场的最前沿，保持领先于新出现的威胁是我们的首要任务. 我很高兴地说，虽然Log4j漏洞是一个重大威胁, 我们久经考验的流程, 我们利用的技术能力作为我们正常业务过程的一部分，使我们能够迅速有效地作出反应. 我们严格的外围防御在事件发生初期为存提供了保护. 除此之外, 我们依靠我们的技术和风险团队的辛勤工作和深谋深虑，他们在我们的DevSecOps交付管道中创建了功能和工具——我们每天都在使用这些功能和工具——这使得开发团队能够通过修复影响存或我们客户的应用程序的风险来快速做出反应.

相关:“什么是DevSecOps?“视频

DC: DevSecOps交付管道是什么?它如何定位存以消除这种威胁并保护其关键系统?

马斯里: 在存, DevSecOps交付管道(DDP)是一组支持端到端安全交付的自动化工具和功能, 测试, 弹性代码和基础架构, 为推动vnsr威尼斯城官网登入业发展的关键存vnsr威尼斯城官网登入和服务提供支持.

我们的开发人员和工程师每天都使用管道作为我们的标准工具套件和自动化功能，使我们能够进行构建, 编译, 扫描, 并部署安全且有弹性的代码，作为我们软件交付生命周期的一部分. 我们能够扩展这些流程，以快速发布保护应用程序不受Log4j影响的代码, 无需花费时间进行临时修复，否则会延迟我们及时完全纠正此问题. 我们很快派开发人员去识别需要更改的Java代码. 然后我们做了必要的改变, 让他们通过我们的管道, 几个小时之内，我们就编好了, 并且测试过的代码可以部署到生产环境中.

因为我们已经建立了能力, 例如自由和开源软件(FOSS)扫描, 进入我们的管道, 我们从来没有在风险姿态上妥协过. 我们的团队在任何时候都对部署的内容完全透明，这对我们的开发人员来说是一个改变游戏规则的方法，可以管理多个代码分支，同时应对像这样的高风险情况. 在我们的肌肉记忆中拥有这些能力和DevSecOps实践，使存能够立即对威胁做出反应，然后回到常规项目工作中. Patching so many applications in such a short timeframe would by other means be a project management nightmare requiring manual top-down coordination; instead, 日常英雄使用日常流程和工具来应对这种情况.

DC: 存加强DevSecOps能力的承诺是如何保护客户和行业的?

Mroz: 我不能夸大Log4j漏洞对Java应用程序的威胁有多大. 这是迄今为止存在的最大安全问题之一, 如果被利用, 我们的生意可能会面临严重的潜在风险. 即使是在修复的高峰时刻, 我们的能力在比典型的高得多的规模上表现得完美无瑕. 例如，在任何给定的一天，我们通常平均处理多达1,000个软件打包作业. 使用Log4j响应，我们将吞吐量提高了一倍. 除此之外, 仅在2021年12月，我们就通过DevSecOps管道处理了近250个紧急变更, 在过去的两年里，我们在同一个月平均只有两次紧急变化.

2021年12月, 针对log4j漏洞，DevSecOps扩展到近250个紧急版本. 看看这与2019年12月和2020年12月的活动相比如何.

我们有能力管理这种风险，而不需要部署一组可能导致重大返工的临时修复程序，这证明了我们技术团队的远见, 包括防火墙工程师和网络安全风险专家, 谁能确保存保持快速行动的优势. 我们有一组多层防御，使我们能够在不影响我们为行业客户和合作伙伴提供的服务的情况下做出响应. 这反映了我们的It和技术风险职能部门之间的紧密合作，以及我们的集体风险管理理念，使存能够领先于不断变化的网络风险.

回到顶部

Log4j修复- DevSecOps如何应对有史以来最大的网络威胁之一