Nhà cung cấp dịch vụ kỹ thuật số tăng cường bảo mật ứng dụng với JFrog Curation

THỬ THÁCH

Đối mặt với cuộc tấn công npm quy mô lớn

Các doanh nghiệp dịch vụ số hàng đầu thường xuyên tận dụng các gói nguồn mở để đẩy nhanh tiến độ phát triển và đảm bảo chất lượng dịch vụ. Để làm được điều này, họ dựa vào các kho lưu trữ OSS như npm, PyPI, GitHub và nhiều nền tảng khác. Tuy nhiên, điều này cũng khiến họ trở thành mục tiêu chịu tác động nặng nề trong cuộc tấn công npm lớn nhất lịch sử vừa qua.

Trong trường hợp này, hơn 80 phiên bản gói đã được xác định có chứa mã độc, và mặc dù đã triển khai các biện pháp quét sâu về lỗ hổng và va chạm giấy phép, đội ngũ kỹ thuật nhận thấy rằng vẫn có khả năng các mã nguy hại đã xâm nhập vào môi trường phát triển mà không bị phát hiện.

Ngay sau khi nhận diện sự cố, đội ngũ DevSecOps lập tức triển khai quy trình xác minh và loại bỏ toàn bộ các gói mã bị xâm nhập – một thao tác phản ứng buộc phải được thực hiện cực nhanh trong các tình huống nguy cơ cao, nhằm bảo toàn uy tín và tránh thiệt hại tài chính.

Khởi nguồn từ sự cố này cũng như các xu hướng công nghệ hàng đầu gần đây, nhóm DevOps và Security đã đặt ra chiến lược chuyển dịch sang bảo mật dịch chuyển sang trái – chủ động ngăn các gói độc hại thâm nhập vào hệ sinh thái phát triển số ngay từ đầu.

Điều nổi bật ở trường hợp này là việc chuyển đổi tình huống ứng cứu khẩn cấp thành thay đổi chiến lược bảo mật lâu dài cho toàn tổ chức.

GIẢI PHÁP

Kích hoạt và triển khai JFrog Curation nhanh chóng trong sản xuất

Các kỹ sư đã quen thuộc với JFrog Curation nhưng lần này họ quyết định khai thác toàn diện giải pháp này để triển khai trong thời gian ngắn nhất. Nhờ nền tảng JFrog Xray đã được triển khai từ trước, đội ngũ dễ dàng bổ sung công cụ quản lý chính sách và kiểm soát tự động ngay từ những bước đầu của chuỗi cung ứng phần mềm, tích hợp trực tiếp vào hệ sản xuất.

Nhóm dự án chia sẻ, sau khi JFrog Curation được kích hoạt tức thời, ưu tiên tiếp theo vô cùng rõ ràng:

“Nhanh chóng chuyển đổi từ bảo mật ứng phó thụ động sang chủ động kiểm soát rủi ro.”

Nhận được sự hướng dẫn từ các chuyên gia JFrog và Dịch vụ tư vấn chuyên sâu của JFrog, đội ngũ bắt đầu xây dựng các chính sách kiểm soát nhằm:

• Ngăn chặn các gói mã độc đã biết từ registry công khai trước khi lập trình viên có thể tích hợp chúng vào môi trường phát triển nội bộ
• Thực thi chính sách tải về gói phần mềm chỉ từ các nguồn tin cậy, tránh nguy cơ nhầm lẫn do các phụ thuộc bị đánh máy hoặc bị tấn công
• Liên tục kiểm soát, kiểm tra các gói và dependencies nguồn mở để phòng ngừa các cuộc tấn công chuỗi cung ứng về sau

Chỉ sau vài ngày triển khai, các lập trình viên đã cảm nhận rõ sự thay đổi –

Các gói OSS vốn dĩ có thể dễ dàng được đưa vào mã nguồn – giờ đây đều được kiểm soát và sàng lọc tự động ở vòng ngoài, loại trừ rủi ro xâm nhập.

KẾT QUẢ

Bảo vệ chủ động trong giai đoạn then chốt

Nhờ kích hoạt JFrog Curation, đội DevSecOps nhanh chóng đạt được những lợi ích sau:

• Tức thời ngăn các gói npm độc hại xâm nhập vào hệ thống
• Triển khai chiến lược bảo mật Shift-Left, phát hiện rủi ro khi còn ở giai đoạn đầu – trước khi tới tay developer hoặc hệ sản xuất
• Đơn giản hóa và tự động hóa kiểm soát tuân thủ các chính sách quản trị dependencies nguồn mở
• Khôi phục niềm tin vào mã nguồn mở giữa bối cảnh một trong những cuộc tấn công npm nghiêm trọng nhất

Một động thái tình thế ban đầu đã mở đường cho sự chuyển đổi bảo mật chiến lược, mang lại giá trị và hiệu quả lâu dài.

Kết hợp JFrog Curation với Xray, tổ chức đã nâng cấp mức bảo vệ chuỗi cung ứng phần mềm – không chỉ phát hiện mà còn ngăn chặn lỗ hổng trước khi chúng tác động tới hệ sinh thái.

JFrog giúp khách hàng chuyển từ thế bị động ứng phó rủi ro sang chủ động ngăn chặn – bảo vệ lập trình viên, hạ tầng kỹ thuật và khách hàng. Liên hệ Softribution ngay để được tư vấn chi tiết, sở hữu hoặc triển khai các giải pháp công nghệ an toàn vượt trội cho hệ thống của bạn.