日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
風(fēng)險升級!CIO需要更加重視軟件供應(yīng)鏈安全

作者 | Mary Branscombe

創(chuàng)新互聯(lián)公司是網(wǎng)站建設(shè)技術(shù)企業(yè),為成都企業(yè)提供專業(yè)的網(wǎng)站設(shè)計制作、網(wǎng)站制作,網(wǎng)站設(shè)計,網(wǎng)站制作,網(wǎng)站改版等技術(shù)服務(wù)。擁有10余年豐富建站經(jīng)驗和眾多成功案例,為您定制適合企業(yè)的網(wǎng)站。10余年品質(zhì),值得信賴!

譯者 | 張增斌

  超過90%的軟件應(yīng)用程序使用開源組件,與開源軟件相關(guān)的依賴關(guān)系和漏洞極其復(fù)雜。使用開源軟件能夠提高開發(fā)人員的開發(fā)效率,但不意味著更加安全。在數(shù)字化轉(zhuǎn)型加速的當下,在推動創(chuàng)新的過程中,開源的復(fù)雜性和開發(fā)速度限制了軟件供應(yīng)鏈安全控制的有效性。

軟件供應(yīng)鏈攻擊變得如此普遍,以至于Gartner將其列為2022年的第二大威脅。據(jù)研究預(yù)測,到2025年,全球45%的組織將會遭受一次或多次軟件供應(yīng)鏈攻擊,82%的CIO認為他們將更容易受到攻擊。這些攻擊包括通過廣泛使用的軟件組件(如Log4j)中的漏洞進行的攻擊,對構(gòu)建管道的攻擊(例如:SolarWinds、Kaseya和Codecov黑客攻擊),或黑客破壞軟件包存儲庫本身。

  Cycode首席執(zhí)行官Lior Levy解釋道:“攻擊者已經(jīng)將優(yōu)先級從生產(chǎn)環(huán)境轉(zhuǎn)移到軟件供應(yīng)鏈,因為軟件供應(yīng)鏈是最薄弱的環(huán)節(jié)?!?,“軟件供應(yīng)鏈仍然是相對容易攻擊的目標,軟件供應(yīng)鏈攻擊依然會不斷增加?!?/p>

  最近備受矚目的事件給軟件開發(fā)行業(yè)敲響了警鐘,Aqua Security戰(zhàn)略高級副總裁Rani Osnat說。“我們已經(jīng)發(fā)現(xiàn)了幾十年來的不透明和缺乏透明度,這就是為什么它如此重要”。

  對使用開源代碼的代碼庫的研究表明,漏洞和過時或廢棄的組件很常見:81%的代碼庫至少有一個漏洞,50%的代碼庫有多個高風(fēng)險漏洞,88%的代碼庫使用的組件不是最新版本或兩年內(nèi)沒有進行更新開發(fā)。

  但是這些問題不太可能削弱開源的普及。當LastPass受到攻擊時,它不會丟失客戶數(shù)據(jù),但未經(jīng)授權(quán)的一方能夠查看和下載它的部分源代碼,這可能會使將來更容易攻擊密碼管理器的用戶,而Twilio漏洞使攻擊者能夠?qū)ο掠谓M織發(fā)起供應(yīng)鏈攻擊。

警惕“影子代碼”的威脅

  CIO需要考慮到最糟糕的狀況:假設(shè)所有代碼,無論是內(nèi)部還是外部,甚至他們的開發(fā)人員使用的開發(fā)環(huán)境和工具都已經(jīng)受到破害,從而來制定相應(yīng)的政策來保護他們的軟件供應(yīng)鏈免受攻擊并將其影響降至最低。

  事實上,Osnat建議CIO們像對待影子IT一樣思考“影子代碼”的潛在風(fēng)險(在沒有 IT 監(jiān)督或安全審查的情況下添加的腳本和庫)。他說:“這不僅僅是一個安全問題,而是一個需要你深入考慮如何獲得軟件的問題,無論是開源的還是商業(yè)的:你如何把它引入你的環(huán)境,你如何去更新它,你想要什么樣的控制措施,你想從你的供應(yīng)商那里獲得什么樣的?!?/p>

提升透明度:推廣使用軟件物料清單

  物理供應(yīng)鏈已經(jīng)使用標簽、配料表、安全數(shù)據(jù)表和物料清單,因此監(jiān)管機構(gòu)和消費者知道產(chǎn)品最終會出現(xiàn)什么結(jié)果。新計劃旨在將類似的方法應(yīng)用于軟件,幫助組織了解依賴關(guān)系網(wǎng)絡(luò)及其軟件開發(fā)過程的攻擊面。

  白宮關(guān)于軟件供應(yīng)鏈安全的第14028號行政命令要求為聯(lián)邦政府提供服務(wù)的軟件供應(yīng)商提供軟件物料清單(SBOM),并使用軟件工件的供應(yīng)鏈級別(SLSA)安全清單來防止篡改。正因為如此,“我們看到很多企業(yè)更加認真地看待他們的軟件供應(yīng)鏈”,F(xiàn)orrester高級分析師Janet Worthington表示:“現(xiàn)在所有的公司都生產(chǎn)和消費軟件,我們看到越來越多的生產(chǎn)商來找我們說,‘如何生產(chǎn)安全的軟件,我可以用軟件物料清單來證明’?!?。

  有許多跨行業(yè)項目,包括NIST的全國供應(yīng)鏈網(wǎng)絡(luò)安全改善計劃(NIICS),微軟和其他IETF成員的供應(yīng)鏈完整性,透明度和信任計劃(SCITT),以及OpenSSF供應(yīng)鏈完整性工作組。

  Worthington說:“每個人都在采取更全面的方法,并說,等一下,我需要知道我將什么帶入我的供應(yīng)鏈,我正在用什么來創(chuàng)建軟件”。

  Linux基金會最近的一項調(diào)查發(fā)現(xiàn),采用軟件物料清單的意識很高,目前有47%的IT供應(yīng)商、服務(wù)提供商和受監(jiān)管行業(yè)使用SBOM,88%的人預(yù)計在2023年使用SBOM。

  SBOM對于已經(jīng)擁有軟件組件和API資產(chǎn)管理的組織最為有用。Worthington說:“今天擁有強大軟件開發(fā)流程的人們會發(fā)現(xiàn),插入可以生成軟件物料清單的工具更容易”。

  SBOM可以由構(gòu)建系統(tǒng)創(chuàng)建,也可以事后由軟件組合分析工具生成。她說,許多工具可以集成到CI/CD管道中,并作為構(gòu)建的一部分運行,甚至當你移除庫也可以運行?!八梢跃婺悖?嘿,你的管道中有這個組件,它有一個關(guān)鍵問題,你想繼續(xù)嗎?'”

  Chainguard首席執(zhí)行官Dan Lorenc表示:“為了使這一點有用,你需要明確你的開發(fā)團隊如何獲取開源軟件的政策”,“開發(fā)人員如何知道他們公司的政策是什么,什么被認為是‘安全的’?他們?nèi)绾沃浪麄冋谫徺I的開放源碼(這是目前開發(fā)人員使用的所有軟件中的絕大多數(shù))確實沒有受到任何損害?”

  他指出了JavaScript、Java、Kubernetes和Python用來建立軟件包的開源Sigstore項目。他說:“Sigstore對軟件的完整性就像證書對網(wǎng)站一樣;它們基本上建立了一個托管鏈和信任驗證系統(tǒng)?!?/p>

  Lorenc說:“我認為CIO應(yīng)該首先向他們的開發(fā)團隊灌輸這些基本步驟:一是使用新興的行業(yè)標準方法,鎖定構(gòu)建系統(tǒng);二是創(chuàng)建一種可重復(fù)的方法,在將軟件構(gòu)件引入環(huán)境之前驗證其可信性?!?/p>

為你使用的開源組件做出貢獻

  Worthington指出,無論是組件、API還是無服務(wù)器功能,大多數(shù)組織都會低估他們正在使用的功能,除非他們進行常規(guī)盤點。她說:“他們發(fā)現(xiàn)其中一些API沒有使用正確的身份驗證方法,或者可能沒有按照他們預(yù)期的方式編寫,甚至有些API已經(jīng)被棄用”。

  除了漏洞之外,評估軟件包背后的社區(qū)支持與了解代碼的作用同樣重要,因為并非所有維護者都希望將他們的代碼視為關(guān)鍵資源?!安⒎撬械拈_源都是一樣的,”她警告說。

  Worthington表示:“開源可能可以免費下載,但使用它肯定不是免費的。你對它的使用意味著你有責(zé)任了解它背后的安全態(tài)勢,因為它在你的供應(yīng)鏈中。你需要為它做出貢獻。你的開發(fā)者需要參與修復(fù)漏洞?!?,他建議各組織也應(yīng)準備好以貨幣形式捐款,要么直接向開源項目捐款,要么向其提供資源和資金支持的倡議捐款。“當你創(chuàng)建一個開源策略時,其中的一部分就是了解預(yù)算和影響?!?/p>

  不要認為這僅僅是一筆開支,實際上這反而是一個更好地了解你所依賴的組件的機會?!斑@甚至有助于留住開發(fā)人員,因為他們會認為自己是社區(qū)的一部分。他們能夠貢獻自己的技能。他們可以在簡歷上使用這一點,”她補充道。

  請記住,漏洞可以在你的技術(shù)堆棧中的任何位置找到,包括大型機,這些大型機越來越多地作為工作負載的一部分運行Linux和開源,但通常缺乏其他環(huán)境中常見的安全流程和框架。

保護你的軟件交付管道

  保護你的軟件交付管道也很重要。NIST的安全軟件開發(fā)框架(SSDF)和SLSA是一個很好的起點:它涵蓋了各種成熟度級別的絕佳實踐,從簡單的構(gòu)建系統(tǒng)開始,然后使用日志和元數(shù)據(jù)進行審計和事件響應(yīng),直到完全安全的構(gòu)建管道。CNCF的軟件供應(yīng)鏈最佳實踐白皮書、Gartner關(guān)于降低軟件供應(yīng)鏈安全風(fēng)險的指南以及包括流程和工具的微軟OSS安全供應(yīng)鏈框架也很有幫助。

  然而,重要的是要注意,僅僅打開旨在查找惡意代碼的自動掃描工具可能會產(chǎn)生太多的誤報而沒有幫助。盡管BitBucket、GitHub、GitLab等版本控制系統(tǒng)包括安全和訪問保護功能(包括越來越精細的訪問策略控制、分支保護、代碼簽名、要求所有貢獻者使用MFA以及掃描機密和憑據(jù)),但它們通常必須顯式啟用。

  此外,諸如可重復(fù)安全創(chuàng)建工件工廠(FRSCA)之類的項目旨在通過在單個堆棧中實現(xiàn)SLSA來保護構(gòu)建管道,但CIO應(yīng)該期望構(gòu)建系統(tǒng)將來包含更多這些實踐。

  事實上,雖然SBOM只是答案的一部分,但創(chuàng)建和使用它們的工具也在不斷成熟,請求和使用它們也在不斷完善。Worthington建議,合同不僅需要指定你想要的SBOM,還需要指定你希望它們更新的頻率,以及它們是否包括漏洞報告和通知?!叭绻l(fā)現(xiàn)像Log4j這樣的新的重要漏洞,供應(yīng)商會告訴我嗎,還是我必須在SBOM中搜索自己,看看我是否受到影響?”

  組織還需要工具來閱讀SBOM,并制定流程來對這些工具的發(fā)現(xiàn)采取行動。Worthington說:“我需要一個工具,它可以告訴我(SBOM)已知的漏洞是什么,許可證的影響是什么,以及這種情況是否會持續(xù)發(fā)生?!?/p>

  CIO們應(yīng)該記住,SBOM“是一個推動者,但實際上并不能解決任何問題,確保供應(yīng)鏈的安全。它可以幫助你應(yīng)對可能發(fā)生的事件”,Osnat說,他對行業(yè)響應(yīng)速度以及圍繞SBOM標準和代碼認證進行的廣泛合作持樂觀態(tài)度,這將有助于使工具互操作(這是Linux基金會研究中組織提出的一個特別關(guān)注的問題)。這可能會導(dǎo)致整個行業(yè)的透明度和報告標準得到與SOC 2相同的改進。

  Osnat表示,盡管如此,CIO們不必等待新的標準或工具來開始讓安全成為開發(fā)人員角色的一部分,因為近年來質(zhì)量已經(jīng)成為了一部分。他的建議是:“首先讓你的CISO和首席工程師坐在一個房間里,找出適合你的組織的模式,以及如何實現(xiàn)轉(zhuǎn)型?!?/p>
本文名稱:風(fēng)險升級!CIO需要更加重視軟件供應(yīng)鏈安全
鏈接分享:http://www.5511xx.com/article/dpcdijc.html