在 SolarWinds 和 CodeCov 等攻打之后,软件供应链平安和避免软件篡改(未经受权的恶意软件批改)已成为平安团队的首要任务。随着软件开发团队面临比以往更快地交付的压力,软件团队正在利用开源和第三方软件来应答大量的交付和服务。与此同时,“平安左移”成为软件工程师的必备实际。
软件供应链的缩短,大大增加了网络犯罪分子可利用的攻击面。现在,软件发行商不仅放心是否能按时交付性能,还要放心他们的软件可能会在下一次 SolarWinds 式攻打中成为指标。
那么问题来了,软件公司对供应链威逼的意识如何呢?采取哪些措施来阻止此类攻打?为了答复这些问题,ReversingLabs 对 300 多名专业人士进行了问卷调查。结果显示,人们对软件篡改和软件供应链攻打的威逼深表担心。调查结果还强调了软件公司在试图检测和阻止软件开发过程中的攻打时面临的阻碍和挑战。
开发团队面临的问题
考察结果显示,对于像 SolarWinds 和 CodeCov 这样的软件供应链攻打,大多开发团队还是有所意识和警戒的。98% 的受访者示意,他们认为开源代码,第三方软件的应用以及软件篡改的威逼正在间接减少他们的平安危险。87% 的受访者意识到软件篡改可能导致其组织的安全漏洞。
当受访者被问及什么对其组织形成最大的网络安全危险时,开源存储库形成的威逼仅次于操作系统和应用程序中的软件破绽,63% 的考察对象示意开源对其组织形成危险。同时,51% 的受访者示意无奈检测软件篡改对他们的组织形成了危险。
开发团队尚未筹备好阻止软件篡改
考察显示,尽管所有软件业余人员都明确对其组织形成的危险是严厉的,但他们还没有做好进攻此类威逼的筹备。例如,只有 51% 的受访者示意,他们所在的公司在应用开源、商业解决方案和合作伙伴软件时能够爱护其软件免受第三方危险的影响。而在网络犯罪分子越来越多地利用软件依赖性的威逼环境中,这个数据令人担忧。当人们思考到对第三方和开源软件的依赖只会持续增长时,就更令人担忧了。
考察还显示,只有 37% 的软件公司示意他们有方法检测整个供应链中的软件篡改。而在那些宣称可能检测到篡改的人中,仅仅 7% 的公司在软件开发生命周期的每个阶段都做到了这一点,然而当应用程序最终实现并部署,只有三分之一的人理论查看了篡改。无奈全面检测篡改,再加上广泛公布的软件存在破绽,发明了一个一直增长的新攻打媒介。
代码平安在软件开发优先级中仍靠后
在每个易受攻击的应用程序背地,第三方插件或开源模块都是不平安的代码。而这种不平安的代码通常是开发团队的产物,在这些组织中,平安开发过程尚未站稳脚跟,或者代码平安是主要(或三级)优先事项。
依据调查结果,其中 54% 的受访者示意他们的组织公布的软件存在潜在的平安危险。已公布代码中的软件破绽曾经不是例外:37% 的受访者示意,他们所在的公司每月或更频繁地公布被发现蕴含安全漏洞的软件。63% 的受访者示意,他们的组织至多每季度公布一次软件。
软件开发企业须要帮忙
很显著,软件公司曾经意识到对开发流水线和软件供应链的攻打所带来的危险。但同样显著的是,它们不足资源来满足古代 DevOps 环境的平安需要。
例如,软件物料清单(SBOM)已被晋升为跟踪软件依赖关系和跟踪软件包中各种组件的一种形式。然而,目前只有 27% 的软件公司生成和审查 SBOM。为什么呢?10 名业余人员中有 9 人示意,创立和审查 SBOM 的难度正在减少。当被问及为什么这些公司不生成和审查 SBOM 时,44% 的人示意次要起因是不足专业知识以及没有足够的人员来审查和剖析 SBOM。整个软件公司外部没有足够的业余能力来正确应用这个重要工具。
是时候做出扭转了!
软件行业面临的威逼不言而喻,当初是时候让公司理解他们须要采取哪些措施来增强进攻。软件公司须要更好地均衡其业务指标与平安。歹意攻击者形成的威逼只会加剧,软件行业是时候采取行动了。软件公司须要将他们对这个问题的意识落实到工作打算中,并充分利用现代化且牢靠的解决方案。