在開源軟件廣泛應(yīng)用的背景下，軟件安全、漏洞管理和許可證合規(guī)成為技術(shù)企業(yè)關(guān)注的重中之重。Ping Identity，作為身份與訪問管理領(lǐng)域的領(lǐng)軍企業(yè)，通過引入 Mend SCA 平臺，實現(xiàn)了自動化安全流程的轉(zhuǎn)型，大幅提升了漏洞響應(yīng)效率與合規(guī)水平。本文將解析其實踐經(jīng)驗，為企業(yè)數(shù)字化安全轉(zhuǎn)型提供參考。

公司簡介：Ping Identity 是誰？

Ping Identity 是全球領(lǐng)先的身份與訪問管理（IAM）解決方案提供商，致力于幫助企業(yè)安全管理用戶身份、控制應(yīng)用和資源的訪問權(quán)。作為行業(yè)先驅(qū)，Ping Identity 的客戶遍布全球，其產(chǎn)品廣泛應(yīng)用于金融、醫(yī)療、政府等對安全要求極高的行業(yè)。

然而，作為一家技術(shù)驅(qū)動型企業(yè)，他們同樣面臨來自軟件供應(yīng)鏈的安全挑戰(zhàn)，特別是在廣泛采用開源組件的背景下，如何實現(xiàn)自動化安全管理、降低法律風(fēng)險并保障客戶數(shù)據(jù)的安全，成為企業(yè)可持續(xù)發(fā)展的關(guān)鍵。

挑戰(zhàn)：如何保障應(yīng)用安全與合規(guī)？

Ping Identity 不僅要確保自有應(yīng)用程序的安全性，更必須防范自身成為客戶供應(yīng)鏈攻擊的潛在入口。同時，隨著開源組件的普及，許可證管理變得日益復(fù)雜，稍有疏忽就可能引發(fā)知識產(chǎn)權(quán)糾紛，影響企業(yè)品牌與投資者信任。

2014 年，Bruno Lavit 加入 Ping Identity 擔(dān)任軟件工程與發(fā)布經(jīng)理。他回憶：“我們當(dāng)時還在手動掃描漏洞、逐一審核開源許可證，既耗時又容易出錯?！币庾R到這一瓶頸后，Lavit 帶領(lǐng)團(tuán)隊開始探索更高效的解決方案。

解決方案：Mend SCA 打造全自動安全流程

在評估了多個供應(yīng)商后，Ping Identity 最終選定 Mend SCA 作為核心安全工具。Mend.io 提供完整的漏洞檢測、容器掃描和自動化許可證合規(guī)檢查，正好契合其云原生產(chǎn)品的需求。

Lavit 表示：“Mend SCA 是唯一能做到完全自動化的平臺。我們在 30 分鐘內(nèi)就完成了第一個產(chǎn)品的掃描，真正做到了即裝即用，完全無縫接入我們現(xiàn)有開發(fā)流程?！?/p>

通過自動化識別漏洞并生成數(shù)據(jù)驅(qū)動的安全報告，Ping Identity 能夠快速響應(yīng)潛在威脅，同時有效降低因許可證問題帶來的法律風(fēng)險。

成果：零高危漏洞，交付更快更安全

Mend SCA 的引入極大提升了 Ping Identity 的安全管理能力。Lavit 強調(diào)：“自從我們使用 Mend.io 后，發(fā)布的產(chǎn)品中已經(jīng)不再存在任何高危漏洞（高嚴(yán)重性 CVE）?！?/p>

特別是在應(yīng)對 Log4J 等突發(fā)安全事件時，Mend 的分析與響應(yīng)機制展現(xiàn)出極大價值?！耙坏┌l(fā)生安全事件，我們能夠第一時間判斷哪些版本受到影響，迅速采取應(yīng)對措施，保障客戶安全?！?/p>

此外，自動化工作流程也顯著提升了團(tuán)隊效率，使產(chǎn)品發(fā)布更加敏捷，安全與交付不再互相掣肘。

總結(jié)：Mend 助力安全轉(zhuǎn)型升級

Ping Identity 的實踐表明，借助 Mend SCA，企業(yè)可以在不干擾現(xiàn)有流程的前提下，實現(xiàn)安全自動化、開源合規(guī)及敏捷交付的有機統(tǒng)一。作為面向未來的軟件安全平臺，Mend 不僅提升了企業(yè)的安全韌性，也為 Ping Identity 在市場競爭中贏得了更多信任與優(yōu)勢。