软件供应链 | |
迅速成为广泛的攻击媒介,保护软件供应链安全已经成为企业的重点任务。 太阳风(SolarWinds)、Kaseya和GitLab只是近年来容易受到攻击的组织中的几个例子。我们还看到了越来越多的漏洞,比如Log4j和Log4Shell,它们有可能影响数十亿台设备。这些例子的共同之处在于,它们利用了开源软件的漏洞和软件交付过程中通常使用的第三方依赖关系——这意味着一个损坏的包可能会对整个科技行业产生广泛的影响。 应用程序安全需要一个持续的上下文,需要了解应用程序在运行时在软件生态系统中的运行方式,否则将可能错过巨大的漏洞。 理解软件供应链中断 大多数人都知道什么是传统的产品供应链——它包含了将产品送到终端消费者的所有相关组件,从原材料到制造、分销和零售地点。但是,近段时间我们不难发现这条链条的脆弱性。如果关闭了其中一个组件,所有消费者都会受到影响,导致从油价上涨到婴儿食品短缺的一切问题。2021年,61%的组织受到了供应链攻击。 在软件领域,供应链也可以被认为是类似的——在软件产品和最终消费者之间涉及许多组件。开发人员编写代码,集成第三方库和框架,将其放入源代码系统,推送到测试环境,并最终部署到生产环境。 第三方暴露可能会在上述工作流程中造成巨大的中断。这可能会以不安全的库、底层云漏洞或API漏洞的形式出现。这些嵌入在软件栈中的APIA相当于一个黑匣子。还可能存在配置错误的S3存储桶,从而可能不断泄露数百万条记录。更严重的应用程序安全威胁包括远程代码执行。 为什么现在安全问题突出? 那么,为什么与软件供应链相关的安全事件会突然激增呢?毕竟,开源软件、API和第三方供应商已经存在了几十年。随着数字时代来临以及应用程序的快速开发,安全问题应该随着开发进行而进行,或者集成到开发流程当中,例如 DevSecOps。 随着第三方供应商和依赖项数量的增加,攻击面也随之增加。Productiv数据发现,平均每家公司拥有254个SaaS应用程序。此外,在攻击者方面,我们看到自动化和复杂程度不断提高。 加固链条 软件供应链问题是一个复杂的问题,任何单一的行动都不能完全解决。以下几点共企业参考: 源代码分析和供应商管理。审查合作伙伴以及通过 检测代码安全漏洞和暴露(cve)来审查新软件的过程是很重要的。 持续的运行时安全监控。新的漏洞不断被发现。因此,组织需要在运行时保持持续的防御态势,即使在开发过程中是安全的。持续的全栈发现必须考虑许多第三方组件,例如 SDK、开源代码、移动应用程序、Web 服务、云服务、API 以及身份和访问管理。 通过SBOM提高透明度。软件材料清单 (SBOM) 的更广泛使用对于提高整个行业的透明度至关重要。SBOM 阐明了软件组件的内部构成。 快速漏洞检测。对攻击面有一个很好的处理。企业收集可能受到攻击的准确清单。 对数据进行重点保护。保护与客户数据交互的应用程序至关重要,泄露这些数据可能会对监管处罚和品牌声誉造成严重后果。 在发布软件的那一刻起就承担了风险。 重用代码和开源包已经成为保持敏捷性以帮助持续发布数字产品的必要条件。即使从头构建一切,仍然会重复使用很多东西。虽然这些工具能够实现前所未有的速度,但我们不能忽视可能存在于软件供应链中的潜在漏洞。 | |
相关链接: 暂不显示 面向省市区: 全国 面向市区县: 全部 最后更新: 2022-06-28 15:14:59 | 发 布 者: 小肖 联系电话: 18279678052 电子邮箱: 浏览次数: 205 |