在當(dāng)今這個(gè)強(qiáng)調(diào)敏捷開發(fā)與快速交付的時(shí)代，軟件交付流程對(duì)安全性的重視程度日益提升，漏洞掃描已成為各開發(fā)團(tuán)隊(duì)不可或缺的關(guān)鍵步驟。借助先進(jìn)的掃描工具，我們能夠自動(dòng)識(shí)別并排查部署制品中潛藏的已知漏洞，從而有效阻止存在風(fēng)險(xiǎn)的組件進(jìn)入生產(chǎn)環(huán)境，為軟件的安全穩(wěn)定保駕護(hù)航。

然而，實(shí)現(xiàn)安全交付并非僅憑一款掃描工具就能一蹴而就，它還需要一套完善的管理機(jī)制來協(xié)同作用，確保軟件交付的每一個(gè)環(huán)節(jié)都能嚴(yán)格遵循安全標(biāo)準(zhǔn)。接下來，就讓我引領(lǐng)大家深入探索這一安全交付的全方位過程。

01. 漏洞掃描的秘密

漏洞掃描是對(duì)軟件交付制品包進(jìn)行深入分析，以發(fā)現(xiàn)并識(shí)別其中可能存在的安全漏洞的重要環(huán)節(jié)。該掃描技術(shù)廣泛應(yīng)用于各種類型的軟件包，涵蓋了Docker容器鏡像，Linux系統(tǒng)下的RPM軟件包，以及Maven、Npm等構(gòu)建工具所依賴的編譯組件和庫。

一般的掃描工具都是檢查軟件包里面的內(nèi)容，然后基于一個(gè)收錄了已知漏洞的漏洞數(shù)據(jù)庫進(jìn)行文件比對(duì)。比如漏洞庫里面已知某個(gè)包的特定幾個(gè)版本有漏洞，并且制品中包含這個(gè)文件信息，掃描工具這時(shí)候會(huì)提示制品也包含了這個(gè)漏洞。

02. 漏洞庫掃描工具的局限

然而，此類工具也有它的局限性。例如，它的掃描范圍只限于已被漏洞數(shù)據(jù)庫識(shí)別的漏洞，并不能發(fā)現(xiàn)開發(fā)者在源代碼中的漏洞，如緩沖區(qū)溢出漏洞等。此外，值得注意的是，并非所有漏洞的信息都能被完整地收錄到漏洞數(shù)據(jù)庫中。這一現(xiàn)狀導(dǎo)致我們難以全面把握哪些漏洞對(duì)我們的使用不構(gòu)成威脅，而哪些看似等級(jí)較低的漏洞，實(shí)則可能潛藏著巨大的安全風(fēng)險(xiǎn)，對(duì)我們的系統(tǒng)構(gòu)成嚴(yán)重威脅。那么，對(duì)于這種情況，我們應(yīng)該如何解決呢？

03.如何有效利用漏洞掃描工具

所以，我們在使用漏洞掃描工具的同時(shí)，也需要采取一些額外的步驟來最大化尋找制品包中潛在漏洞的機(jī)會(huì)。

1）制品瘦身

在軟件安全的世界里，我們都在尋求一種最優(yōu)的策略，那就是在確保功能和性能的同時(shí)，最大限度地減少安全隱患。換句話說，就是我們希望在制品里塞進(jìn)盡可能多的功能，但又希望讓漏洞掃描工具能輕松地檢查每一個(gè)角落。

這里有一個(gè)現(xiàn)實(shí)問題：隨著制品中代碼量與依賴項(xiàng)的增多，漏洞掃描器在解壓所有層級(jí)并逐一排查漏洞的過程中，所需的時(shí)間和資源也隨之劇增。當(dāng)制品涵蓋的項(xiàng)目數(shù)量龐大時(shí)，修復(fù)潛在的安全漏洞將變得異常復(fù)雜，而重新構(gòu)建整個(gè)制品的過程也將變得異常艱難，充滿挑戰(zhàn)。

那么我們該如何打破這個(gè)困局呢？最有效的方式就是精簡制品，讓每一個(gè)包只包含部署所需的一部分代碼和資源。那就意味著不再把多個(gè)組件一股腦兒地塞進(jìn)一個(gè)包。這就好比我們把行李打包，如果把行李塞得滿滿當(dāng)當(dāng)，只會(huì)讓尋找某個(gè)物品變得困難。而如果我們事先規(guī)劃好，將每個(gè)物品分類打包，不僅可以輕松找到需要的物品，還省了不少空間。

通俗來說，就像我們在打包 Docker 鏡像的時(shí)候，不要試圖把多個(gè)微服務(wù)都塞進(jìn)一個(gè)鏡像，而是為每一個(gè)微服務(wù)打造專屬的鏡像；或者，如果我們在打包 Debian 包的時(shí)候，也應(yīng)該把應(yīng)用程序前端和邏輯分別打包到不同的包中，而不是混在一起。

這樣的策略，不僅可以讓我們的制品瘦身成功，降低安全風(fēng)險(xiǎn)，提高掃描效率，更使得我們的工作流程更加清晰高效。這或許就是軟件開發(fā)中的一種藝術(shù)，既要讓創(chuàng)造性盡情綻放，又要讓規(guī)則和秩序得以實(shí)現(xiàn)，和諧而高效地共存，才能創(chuàng)造出真正優(yōu)秀的作品。

2）早期掃描

同樣，軟件開發(fā)的過程中，我們可以選擇在項(xiàng)目部署之前再進(jìn)行全面的漏洞掃描，或者是在一開始構(gòu)建包的時(shí)候就立即執(zhí)行掃描。兩種方式中，我更推薦后者——早期掃描。

早期掃描展現(xiàn)出兩大顯著優(yōu)勢。首要的是，它能夠讓我們在問題規(guī)模尚小、修復(fù)成本較低的情況下就及時(shí)發(fā)現(xiàn)漏洞。試想，若是在已經(jīng)對(duì)軟件包完成了多輪測試，甚至即將部署之際，才猛然發(fā)現(xiàn)存在漏洞而不得不重新構(gòu)建制品，那么所需重新投入的時(shí)間和精力將是極為龐大的。

其次，早期掃描可以阻止有問題的制品上傳到制品庫中，或者對(duì)外開放下載。這樣，在開發(fā)過程中可以確保引用的都是安全的依賴，將不安全的應(yīng)用投入生產(chǎn)環(huán)境的風(fēng)險(xiǎn)降至最低。

并且，雖然我們提前進(jìn)行了掃描，但在部署前進(jìn)行最后一次檢查依然必不可少。就像我們在烹飪時(shí)，盡管已經(jīng)提前處理好了食材，但在上菜前試一下味道還是很有必要的。這樣可以確保我們的軟件在投入實(shí)際生產(chǎn)的時(shí)候是真正無懈可擊的。當(dāng)然，在這個(gè)過程中，開發(fā)階段已經(jīng)完成的掃描也起到了重要的輔助作用，它有助于阻止?jié)撛诼┒丛诔跗陔A段就進(jìn)入持續(xù)交付流水線。

3）漏洞分類

如上所述，當(dāng)我們的團(tuán)隊(duì)識(shí)別出某些漏洞的嚴(yán)重程度足以導(dǎo)致程序包無法正常使用時(shí)，我們會(huì)立即提升這些漏洞的警告級(jí)別。通過為掃描器定制漏洞分類策略，我們能夠基于對(duì)每個(gè)漏洞實(shí)際安全影響的深入分析，實(shí)施有效的風(fēng)險(xiǎn)評(píng)估并確定處理優(yōu)先級(jí)。這一流程使我們能夠迅速分辨出哪些是阻礙項(xiàng)目進(jìn)展的關(guān)鍵因素，哪些是相對(duì)可以擱置一旁的低風(fēng)險(xiǎn)問題，從而更加高效地管理安全漏洞。

4）漏洞數(shù)據(jù)庫

最后就是漏洞數(shù)據(jù)庫的完善程度，一個(gè)大而全的漏洞庫是漏洞掃描工具的基本盤。

如果我們的漏洞庫內(nèi)容過于匱乏，那么在漏洞掃描時(shí)的識(shí)別率將大幅度下降。簡潔而言，就像你要找一本書，但圖書館的藏書量只有幾十本，找到的概率自然要小得多。

一些公開且免費(fèi)的漏洞庫如CVE、NVD，雖然適用于基本的需求，但其信息的及時(shí)性和完整性嚴(yán)重依賴于維護(hù)者的更新。在此我們建議，在選擇使用這些免費(fèi)漏洞庫的同時(shí)，也要有所準(zhǔn)備，理性看待其可能存在的局限性。

5）保持警惕，面對(duì)挑戰(zhàn)

要在這個(gè)科技飛速發(fā)展的時(shí)代中保持競爭力，我們必須始終保持警惕，時(shí)刻準(zhǔn)備應(yīng)對(duì)各種可能出現(xiàn)的問題和挑戰(zhàn)。安全問題是我們必須要重視和解決的重大問題之一。我們一起用智慧和決心，保護(hù)好自己，保護(hù)我們的工作，做好安全防護(hù)。讓我們一起在科技的浪潮中，勇敢地迎接挑戰(zhàn)，創(chuàng)造一個(gè)更美好、更安全的未來。