新思科技在年度《开源安全与风险分析》(OSSRA)报告中指出,开源和第三方软件的使用量持续快速增长。这意味着在软件开发生命周期中,您的开发团队无疑会以某种方式并在某种程度上使用开源软件。
如果您是软件供应商,那么,您就需要依赖开源的第三方和商业组件来构建应用,进而成为供应链中的一环。不过,需要注意的是,这条供应链并不仅限于您的团队,它还涉及到软件开发和交付活动之外的所有相关方,一直延伸到应用的最终用户。
您的供应链涵盖了与应用直接相关或在其组装、开发和部署中扮演某种角色的所有各方,还包括您的开发团队自己编写的专有代码和组件,以及用于构建和向最终用户交付该软件所使用的基础架构。
我们可以借助传统的供应链示例来更清晰地了解软件供应链。我们以汽车制造业为例。该行业的供应链从原材料供应商开始,他们为零部件制造商提供金属、棉花、皮革和木材等原材料。这些零部件制造商将原材料加工成螺丝、织物、螺母和螺栓等零部件,然后再将这些零部件运送到汽车部件和系统制造商那里,由他们制造出组装汽车所需的部件(如发动机和变速器)。最后,这些部件将被运送到原始设备制造商那里,由他们在装配线上组装汽车,并卖给消费者。
如果您能意识到这个制造过程涉及到无数环节,便会知道很多地方都可能存在风险。制造这辆车所用的零部件质量如何?汽车制造商组装这些零部件的工艺如何?这辆汽车的实际驾驶性能如何?它如何应对突发事故和恶劣驾驶条件等情况?
对于供应链,可以肯定的一点是,这个过程中涉及的所有组件、人员、活动、材料和程序都会对最终产品及其用户产生影响。任何环节中的薄弱点都会带来风险,而降低这种风险的唯一方法就是完全了解整条供应链。软件供应链也是如此。
简言之,如果不能完全了解供应链,企业就无法准确或全面地管理风险。面对如此众多的活动部件,只要漏掉一个未识别的薄弱点或设计缺陷,就会为攻击者创造可乘之机。
Capterra是Gartner旗下的在线市场调研公司。Capterra报告指出,过去一年中,有超过五分之三(61%)的美国企业受到了软件供应链威胁的直接影响。该报告指出,开源软件是供应链风险的一个主要来源,94%的美国公司以某种形式使用了开源软件。
显然,不安全的开源软件对软件开发行业内外的企业都有影响。例如,广泛使用的ApacheLog4J实用程序中的0-day漏洞允许攻击者在易受攻击的服务器上执行任意代码。
但是,开源软件并不是供应链完整性的唯一威胁。SolarWinds的入侵是由一个泄露的密码引起的,黑客利用该密码进入系统,并通过例行更新来访问数千名客户的敏感数据。在CodeCov的供应链入侵中,黑客利用他们在Docker镜像中发现的秘密安装了一个后门,窃取了客户数据。
为了应对安全漏洞的增加,美国颁布了一项行政命令(E014028),针对与联邦政府有业务关系的企业如何保护其软件安全提出了具体方针。这项旨在增强美国网络安全状况的命令促使全国各地的公司重新审视其安全实践,而不限于命令所指定的企业。
这项命令还引发了对软件安全实践的集体审查。EO 14028的一项主要内容是建议企业改进软件供应链。该命令还对现有软件安全实践添加了另一层考虑因素,要求企业在制定安全措施时,要从供应链安全的视角审视现有活动。其结果是在规划安全措施时必须满足更多的要求。
软件供应链安全的主要考虑因素
从根本上说,保护供应链的任何努力都必须考虑如何保护应用不受上游风险的影响,以及如何防止产生下游风险。
为了帮助您通过更简洁的方式开始处理供应链安全问题,新思科技确定了有关供应链安全活动的五个考虑因素。通过回答这五个问题,您可以深入了解自己在供应链安全方面的成功和疏漏,并为您的安全活动提供信息。
本文来自知之小站
PDF报告已分享至知识星球,微信扫码加入立享3万+精选资料,年更新1万+精选报告
(星球内含更多专属精选报告.其它事宜可联系zzxz_88@163.com)
