原始碼構成了任何應用程式或軟體產品的基本建構塊。它是任何以技術為中心的組織的支柱。原始程式碼包含有關公司智慧財產權的專有資訊,並保護保持公司營運的資料。
整合第三方開原始元件使軟體團隊能夠輕鬆利用已有的代碼,而無需從頭開始開發。不幸的是,這種便利性的缺點涉及針對第三方供應商的風險,導致供應鏈攻擊。在供應鏈攻擊期間,網路犯罪分子可以將惡意軟體插入第三方代碼或建構系統,從而將惡意軟體傳遞給組織及其相關客戶。
在這篇文章中,我將演示如何使用 MetaDefender Jenkins 外掛程式。
保護 建構方式 MetaDefender Jenkins 外掛程式
這 MetaDefender for Jenkins 外掛程式掃描 Jenkins 建構的惡意軟體,並檢查原始程式碼和工件是否存在威脅。高階惡意軟體可以輕鬆繞過單個防病毒 (AV) 引擎,使原始程式碼面臨風險。惡意軟體檢測中的誤報也是大多數AV解決方案中的常見副作用,導致補救工作、時間和資源浪費。MetaDefender for Jenkins 利用 Metascan(一種多防毒引擎掃描技術)來提高檢測率並縮短軟體建構的爆發檢測時間。
下面是顯示惡意軟體如何滲透的兩種方案:在原始程式碼中和在生成過程中。
方案 1:原始程式碼中的惡意軟體
在這種情況下,原始程式碼可以是你自己的原始程式碼(來自開發人員的受感染電腦),也可以是來自第三方庫的原始程式碼。在第一種情況下,我想檢查 GitHub 中的第三方庫儲存庫。為了確保儲存庫沒有威脅,我添加了一個建構步驟,以使用 MetaDefender Jenkins 外掛程式。
如果原始程式碼中存在任何威脅,我還希望建構返回為“失敗”。
嘗試運行建構後,結果被標記為“失敗”,因為 MetaDefender Jenkins 外掛程式。
方案2:生成過程中引入的惡意軟體
如果您認為掃描儲存庫足以保護原始程式碼,那麼它可能並不總是正確的。某些惡意軟體在原始原始原始程式碼儲存庫中不存在,但在下載依賴項或庫等元件時可能會被引入。在第二個影片中,我演示了第二個場景的示例,以及如何使用 MetaDefender Jenkins 外掛程式。
如您所見,在第一次運行中掃描原始程式碼後,沒有發現任何問題。
之後,我使用 build.bat 檔向流程添加了一個新的建構步驟,並再次開始建構。
出於演示目的,我使用 npm 下載了一個 EICAR 測試包,以類比在現實生活中安裝惡意軟體的操作。在這種情況下,雖然原始原始原始程式碼中沒有任何威脅,但在建構期間腳本中發生了惡意 npm 包。這 MetaDefender Jenkins 外掛程式檢測到威脅,將建構標記為失敗。
詳細的掃描結果顯示在 MetaDefender Core.
關於 OPSWAT MetaDefender 針對 Jenkins
OPSWAT MetaDefender 因為 Jenkins 在向公眾發佈應用程式之前檢查您的建構是否存在惡意軟體和機密。由 MetaDefender 平臺 — 包括 30 多種領先的防病毒引擎、 Deep CDR 和 主動式 DLP — MetaDefender Jenkins 外掛程式將徹底掃描您的原始程式碼和工件以查找任何威脅。您將透過內建的故障保護功能獲知潛在問題,這有助於防止惡意軟體爆發和敏感資料洩露。詳細瞭解 MetaDefender 對於 Jenkins 和其他 OPSWAT 免費工具。
有關更多資訊, 請聯繫我們的網路安全專家。
