软件供应链安全:寻找最薄弱的环节

这篇具有很好参考价值的文章主要介绍了软件供应链安全:寻找最薄弱的环节。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

软件供应链安全:寻找最薄弱的环节,网络研究观,安全,软件,供应链,管理,技术

在当今的数字时代,软件占据主导地位,成为全球组织业务和创新的支柱。它是差异化、项目效率、成本降低和竞争力背后的驱动力。软件决定了企业如何运营、管理与客户、员工和合作伙伴的关系,以及充分利用他们的数据。

挑战在于,当今的大多数软件都不是从头开始开发的,也不是将安全性放在首位。无论是内部开发(“第一方”)还是外部采购(“第三方”),它通常包含预构建代码块的复杂组合,其中许多代码块使用开源库,并且可能具有不同的年龄和质量。 

事实上,我们对 2023 年 TruRisk 研究报告中超过 13 万亿个匿名数据点的分析发现,79% 的已安装服务器使用开源组件。

这一现实给所谓的“软件供应链”带来了漏洞,为寻求利用薄弱环节访问关键数据和系统的攻击者提供了主要目标,特别是在当今的多云环境中。因此,研究公司 Enterprise Strategy Group (ESG) 最近的一项调查发现,惊人的 91% 的受访者表示在过去 12 个月内经历过软件供应链事件,这一点也就不足为奇了。

鉴于这些风险,保护软件供应链变得更加重要。那么,企业可以采取哪些措施来防御软件供应链攻击呢?”

内部软件管理:加强安全的重要一步

安全团队必须首先创建公司现有第一方软件的全面清单,包括其不同的组件和版本。 

令人惊讶的是,许多组织都在努力实现这种基本的洞察力。

为什么有差距?通常,由于依赖手动检查和运行脱节的基于脚本的测试来评估第一方软件。这种方法会导致评估不一致和遗漏漏洞,而传统工具无法检测嵌入式开源软件包则加剧了这种情况。

扩展您的安全方法以涵盖第一方软件应用程序至关重要。通过这样做,您可以使团队能够识别风险并确定风险的优先级,为全面实施稳健的安全措施奠定坚实的基础。

物料清单:通过透明度增强安全性

第三方软件提出了独特的挑战:如果没有所有权,就很难评估潜伏在其中的安全风险。软件物料清单 (SBOM) 是一种在网络安全领域越来越受欢迎的解决方案。

SBOM 通过列出应用程序中使用的所有组件来提供重要的见解,使团队能够识别漏洞并有效地确定优先级和管理风险。尽管 SBOM 仍处于新兴阶段,但它正在全球范围内获得监管支持。

例如,澳大利亚网络安全中心 (ACSC) 在 2023 年 3 月发布的《软件开发指南》中强调了 SBOM 的重要性,美国政府和欧盟也围绕 SBOM 制定了相关授权,强调了它们在增强网络弹性方面的重要性。

尽管如此,SBOM 经常在 CISO 的待办事项清单上因优先事项相互竞争而陷入困境。然而,它们的实施对于防范不断变化的网络威胁仍然至关重要,值得全球企业的关注和采取行动。

改进围绕安全的整体流程

与任何安全工作一样,保护软件供应链取决于传入的数据以及将信息转化为行动的速度。然而,现代软件的复杂性意味着很容易忽视潜在的漏洞,无论是您自己组织的软件还是其他公司或来源的产品。

增强安全性首先要获取全面的数据。然而,仅有数据还不够,它必须结合实际情况才能付诸行动。如果没有这种洞察力,在应用程序中确定更改的优先级或让供应商对更新负责就会变得令人畏惧。同样,管理潜在风险并在问题出现之前避免问题也成为一项艰巨的任务。

因此,风险和软件治理的整体方法至关重要。通过集成有关第一方和第三方应用程序风险的数据,您的团队可以更好地了解潜在威胁、识别必要的更改并促进有效的问题解决。

技术的转变

对不断变化的网络威胁保持警惕至关重要,特别是在关键安全技能短缺的情况下。

在这里,必须利用技术来自动收集数据、持续洞察软件基础设施并有效地确定风险的优先级,以便在潜在威胁升级之前主动领先。

然而,不同安全工具在分散环境中的激增可能会导致混乱,因为它们提供了关于组织风险的不同视角,阻碍了有效的风险管理和补救工作。

我们需要一个统一的平台来整合跨环境(包括多云)的数据,提供全面的可见性和上下文以高效解决安全问题,促进安全、IT 和开发团队之间的协作,简化风险缓解工作并保护关键应用程序。

特别是,现代人工智能驱动的工具现在可以毫不费力地扫描各种计算工作负载的开源软件,通过识别多云环境中的漏洞并促进快速解决问题来显着降低供应链风险。

同样,网络安全资产管理解决方案可以帮助解决管理未知或未托管资产的挑战,包括软件以及基于云的工作负载和物联网设备。通过利用此类工具嗅探网络流量,客户发现的不受管理和不受信任的资产平均增加了 34%,并将其与业务环境和风险评估无缝集成到漏洞管理计划中。

最后的想法

在供应链攻击不断增加的情况下,保护软件组件的重要性怎么强调都不为过,并且需要持续的警惕和奉献。企业必须通过采取全面的方法并培养安全意识文化来解决供应链安全方面的差距。 

通过优先考虑供应链安全并提高透明度和问责制,企业可以加强其软件运营并防范不断发展的数字环境中出现的新威胁。文章来源地址https://www.toymoban.com/news/detail-854097.html

到了这里,关于软件供应链安全:寻找最薄弱的环节的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 全球软件供应链安全指南和法规

    供应链安全继续在网络安全领域受到重点关注,这是有充分理由的:SolarWinds、Log4j、Microsoft 和 Okta 软件供应链攻击等事件继续影响领先的专有软件供应商以及广泛使用的开源软件软件组件。 这种担忧是全球性的。随着各国政府寻求降低软件供应链攻击的风险,世界各地的法

    2024年02月02日
    浏览(36)
  • 信息安全-应用安全-蚂蚁集团软件供应链安全实践

    8月10日,由悬镜安全主办、以“开源的力量”为主题的DSS 2023数字供应链安全大会在北京·国家会议中心隆重召开。蚂蚁集团网络安全副总经理程岩出席并发表了《蚂蚁集团软件供应链安全实践》主题演讲。 图1 蚂蚁集团网络安全副总经理程岩发表主题演讲 以下为演讲实录:

    2024年02月10日
    浏览(48)
  • 文献阅读笔记 # 开源软件供应链安全研究综述

    纪守领,王琴应,陈安莹,赵彬彬,叶童,张旭鸿,吴敬征,李昀,尹建伟,武延军.开源软件供应链安全研究综述.软件学报. http://www.jos.org.cn/1000-9825/6717.htm 主要作者来自浙江大学、中科院软件所、华为 资源: pdf 本文总结了开源软件供应链的关键环节, 基于近10年的攻击事件总结了开源软

    2024年02月12日
    浏览(46)
  • Gartner发布降低软件供应链安全风险指南

    软件供应链攻击已呈三位数增长,但很少有组织采取措施评估这些复杂攻击的风险。这项研究提供了安全和风险管理领导者可以用来检测和预防攻击并保护其组织的三种实践。 主要发现 尽管软件供应链攻击急剧增加,但安全评估并未作为供应商风险管理或采购活动的一部分

    2024年02月04日
    浏览(49)
  • 一文读懂什么是软件供应链安全

    今天的大部分软件并不是完全从头进行开发设计的。相反,现在的开发人员频繁的依赖一系列第三方组件来创建他们的应用程序。通过使用预构建的库,开发人员不需要重新发明轮子。他们可以使用已经存在的工具,花更多的时间在专有代码上。这些工具有助于区分他们的软

    2024年02月05日
    浏览(50)
  • 企业应如何做好软件供应链安全管理?

    随着软件供应链攻击日益普遍,Gartner 将其列为2022 年的第二大威胁。Gartner 预测,到 2025 年,全球 45% 的组织将遭受一次或多次软件供应链攻击,是2021年的3倍。这些攻击一旦成功,将给企业带来毁灭性打击,因此如何做好软件供应链管理成为企业关注的重要课题。 目前国内

    2024年02月16日
    浏览(49)
  • SOFAStack软件供应链安全产品解析——SCA软件成分分析

    近年来,软件供应链安全相关攻击事件呈快速增长态势,造成的危害也越来越严重,为了保障软件供应链安全,各行业主管单位也出台了诸多政策及技术标准。基于内部多年的实践,蚂蚁数科金融级云原生PaaS平台SOFAStack发布完整的软件供应链安全产品及解决方案,包括静态代

    2024年02月04日
    浏览(46)
  • 龙腾荆楚 | 软件供应链安全检测中心落地襄阳

    1月16日, 襄阳市东津新区“园区提质、企业满园”行动暨2024年东津云谷首月重大项目集中签约活动圆满完成 ,开源网安城市级项目再下一城,分别与襄阳市政府、高校、国投签订战略合作协议,推动荆楚地区数字政府、数字经济、数字社会、数字生态协同高质量发展。 襄阳

    2024年01月20日
    浏览(55)
  • 开源时代:极狐GitLab如何保证软件供应链安全

    开源吞噬软件 “软件吞噬世界,开源吞噬软件”已经不是一句玩笑话了。根据Synopsys发布的《2021年开源安全和风险分析报告》显示,98%的样本代码库中包含开源代码,75%的样本代码库是由开源代码组成的。上述结果是通过对1500+商业代码库进行分析得出的,开源不仅存在于大

    2024年02月03日
    浏览(46)
  • “网安三人行”盘点:软件供应链安全的那些事儿

    2022年伊始,默安科技联合数世咨询举办以“软件供应链安全的时与势”为主题的访谈活动,由数世咨询创始人李少鹏主持,邀请 贝壳安全研发负责人李文鹏、北京邮电大学副教授张文博、默安科技副总裁沈锡镛 三位行业大咖做客网安小酒馆,从产业、企业、学术的不同维度

    2023年04月25日
    浏览(48)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包