日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
為何公司需要關(guān)注軟件供應(yīng)鏈安全?

攻擊者闖入并篡改復(fù)雜軟件開發(fā)供應(yīng)鏈中的軟件,通過注入惡意代碼來威脅供應(yīng)鏈遠(yuǎn)端的目標(biāo)時(shí),就會(huì)發(fā)生軟件供應(yīng)鏈攻擊。這些注入的惡意代碼可用于通過獲取系統(tǒng)權(quán)限或直接投放惡意有效載荷或后門程序包,進(jìn)一步篡改代碼。軟件供應(yīng)鏈攻擊利用已建立的系統(tǒng)驗(yàn)證渠道的漏洞,獲得系統(tǒng)的特權(quán)訪問,并破壞大型網(wǎng)絡(luò)和數(shù)據(jù)庫。

成都創(chuàng)新互聯(lián)是一家專注于網(wǎng)站建設(shè)、成都做網(wǎng)站與策劃設(shè)計(jì),北關(guān)網(wǎng)站建設(shè)哪家好?成都創(chuàng)新互聯(lián)做網(wǎng)站,專注于網(wǎng)站建設(shè)十年,網(wǎng)設(shè)計(jì)領(lǐng)域的專業(yè)建站公司;建站業(yè)務(wù)涵蓋:北關(guān)等地區(qū)。北關(guān)做網(wǎng)站價(jià)格咨詢:18980820575

軟件供應(yīng)鏈基本上是指開發(fā)軟件產(chǎn)品所涉及的一切,包括所有組件、軟件包和代碼庫?,F(xiàn)代軟件產(chǎn)品包含依靠其他代碼的大量依賴項(xiàng),因此查明哪些漏洞破壞哪些軟件產(chǎn)品和工具可能是一項(xiàng)頗具挑戰(zhàn)性的技術(shù)活。

安全軟件供應(yīng)鏈有滯后,安全事件難免會(huì)發(fā)生

由于軟件供應(yīng)鏈安全方面的問題或錯(cuò)誤,迄今為止發(fā)生過多起安全行為。比如說,2017年的NotPetya和Equifax數(shù)據(jù)泄密事件影響了數(shù)百萬用戶。這表明了軟件供應(yīng)鏈攻擊的潛在規(guī)模及其對(duì)惡意網(wǎng)絡(luò)活動(dòng)的戰(zhàn)略實(shí)用性。

很多時(shí)候,公司也不及時(shí)披露軟件或網(wǎng)絡(luò)遭到了破壞,從而使整個(gè)客戶和合作伙伴生態(tài)系統(tǒng)岌岌可危。比如2017年Kingslayer Windows日志管理軟件遭到攻擊事件:中國攻擊者盯上了這款Windows IT管理應(yīng)用程序,注入了有效簽名的惡意代碼,惡意代碼可以通過更新或下載該應(yīng)用程序進(jìn)行傳播。那次攻擊破壞了全球各地的諸多系統(tǒng),包括大學(xué)、國防企業(yè)、政府組織、銀行、IT及電信公司以及其他企業(yè)。

之所以發(fā)生這種情況,是由于該惡意軟件安裝了一個(gè)輔助軟件包,該軟件包可以上傳和下載文件,執(zhí)行惡意程序,并運(yùn)行任意的外殼命令。一家國防承包商在其環(huán)境中發(fā)現(xiàn)一款軟件在ping已知是不良IP的IP地址后,察覺了這起攻擊。現(xiàn)在,如果警惕的軟件供應(yīng)鏈安全和管理機(jī)制部署到位,本可以避免這種情況。好消息是,隨著DevSecOps和Gitops方面取得進(jìn)展,這成為了現(xiàn)實(shí)。

您應(yīng)了解軟件環(huán)境中的一切

作為開發(fā)人員,您應(yīng)了解自身環(huán)境中的內(nèi)容,發(fā)現(xiàn)可能帶來安全問題(比如許可證問題或依賴項(xiàng)漏洞)的任何軟件問題,并盡快打上補(bǔ)丁。容器是軟件供應(yīng)鏈中必不可少的一部分,使補(bǔ)丁工作變得很順暢。容器讓您可以輕松重新構(gòu)建、測試并重新部署到您的環(huán)境中,沒有任何停機(jī)時(shí)間。

如果公司在這方面積極主動(dòng),可以借助自動(dòng)代碼掃描和補(bǔ)丁確保容器層面的最佳安全。當(dāng)然,很多時(shí)候說起來容易做起來難,因?yàn)檐浖艿罆?huì)逐漸變得很復(fù)雜。但主動(dòng)打補(bǔ)丁可以在任何重大數(shù)據(jù)泄露發(fā)生之前及時(shí)解決大多數(shù)安全問題。

大多數(shù)開源項(xiàng)目并不遵循嚴(yán)格的組織結(jié)構(gòu),而是依靠自我組織和協(xié)作方法來推動(dòng)軟件創(chuàng)新和發(fā)展。這可能是確保真正的軟件安全供應(yīng)鏈面臨的主要問題。

現(xiàn)在有了GitOps,運(yùn)營團(tuán)隊(duì)不僅可以將基礎(chǔ)架構(gòu)定義為代碼,還可以通過提交人們可共同審核和批準(zhǔn)的合并請(qǐng)求進(jìn)行部署和更改。開發(fā)應(yīng)用程序時(shí),GitOps使得在持續(xù)交付服務(wù)器上進(jìn)行持續(xù)集成變得無處不在。團(tuán)隊(duì)致力于構(gòu)建產(chǎn)品時(shí),這有助于融入DevSecOps實(shí)踐。

GitHub上確保安全軟件供應(yīng)鏈的工具

雖然許多公司使用Github來托管代碼,但是有一項(xiàng)名為依賴關(guān)系圖(dependency graph)的功能可以進(jìn)行掃描、進(jìn)行安全分析,包括許可證方面的信息和針對(duì)易受攻擊的依賴項(xiàng)的安全警報(bào)。比如說,如果團(tuán)隊(duì)添加的一個(gè)新依賴項(xiàng)有漏洞,或者在現(xiàn)有的依賴項(xiàng)中發(fā)現(xiàn)了一個(gè)新漏洞,他們會(huì)收到警報(bào),可以通過打補(bǔ)丁來解決。

Github還有一項(xiàng)自動(dòng)功能,一個(gè)名為Dependabot的自動(dòng)機(jī)器人向用戶發(fā)送自動(dòng)合并請(qǐng)求,以表明用戶已針對(duì)易受攻擊的依賴項(xiàng)升級(jí)到了補(bǔ)丁版本。Github的許多企業(yè)用戶都在使用Dependabot和GitHub依賴關(guān)系圖來了解它們?cè)谑褂媚男┮蕾図?xiàng)、存在的漏洞、如何打補(bǔ)丁以及回到正常工作模式。用戶可以使用Github的語義代碼分析引擎CodeQL發(fā)現(xiàn)整個(gè)代碼庫中的漏洞,該引擎使用戶可以像查詢數(shù)據(jù)那樣查詢代碼。


分享題目:為何公司需要關(guān)注軟件供應(yīng)鏈安全?
文章地址:http://www.5511xx.com/article/dphigeg.html