软件供应链平安处于起步阶段
软件公司 ActiveState 做了一项对于开源软件供应链平安的调研,其中包含开源组件的安全性,以及要害软件开发流程的安全性和完整性。结果表明,软件供应链平安仍处于起步阶段。
爱护软件供应链平安包含破绽补救以及在整个软件开发过程中施行控制措施。要害开发流程包含:
- 导入 – 将第三方工具、库、代码片段、包和其余软件资源引入组织的过程是否平安?
- 构建 – 组织从源代码组装和构建开源工件的过程是否平安?
- 运行 – 组织在开发、测试和生产环境中解决、测试和运行构建工件的过程是否平安?
该考察收到了来自寰球各规模组织共 1500 多名开发人员、平安业余人员和开源领导者的回复,考察结果显示软件行业供应链平安目前依然处于起步阶段。值得关注的是,有 32% 的企业将源代码寄存在开源代码库中,他们无奈为其提供的软件安全性和完整性提供任何保障,构建可重复性程度低,因而源代码构建的任何内容安全性令人担忧。
软件供应链平安仍是企业痛点
同时 Venafi 对来自寰球不同企业的 1000 位 CIO 进行调研,其中 82% 的人示意他们的组织容易受到针对软件供应链的网络攻击。
云原生开发以及采纳 DevOps 流程带来高效开发,使得软件供应链平安挑战变得更加简单。与此同时,受到 SolarWinds 和 Kaseya 此类大型攻打事件的影响,攻击者正在加紧对软件构建和散发环境开展攻打。在过来的一年中,这些攻打的数量激增,复杂性更是空前,软件供应链攻打可能导致的重大业务中断、支出损失、数据偷盗和客户利益侵害。因而,软件供应链平安开始受到 CEO 们及其董事会的高度关注,也成为人们关注的焦点。
次要调研后果:
- 87% 的 CIO 认为,软件工程师和开发人员在安全策略和管制方面退让和斗争,以便更快地将新产品和服务推向市场。
- 85% 的 CIO 示意董事会或 CEO 特别强调要增强软件构建和散发环境的安全性。
- 84% 的受访者示意,用于软件开发环境安全性的估算在过来一年中有所增加。
在数字化转型的大背景下,各个企业相继开始进行软件开发工作。因而,软件开发环境已成为歹意攻击者的微小指标。黑客发现,对软件供应链的攻打,尤其是针对机器身份的攻打,能给黑客带来微小利益。
在这些类型的攻打中,毁坏开发环境的办法已达数十种,包含利用 Log4j 等开源软件组件进行攻打。令人担忧的是开发人员目前专一与翻新和开发速度,而不是安全性,而平安团队不足充分的常识和资源来帮忙开发团队解决和解决平安问题。
超过 90% 的软件应用程序应用开源组件,与开源软件相干的依赖关系和破绽极其简单。CI/CD 和 DevOps 流水线的构造可能进步开发人员的开发效率,但不意味着更加平安。在推动更快翻新的过程中,开源的复杂性和开发速度限制了软件供应链安全控制的有效性。
CIO 们的安全意识沉睡
此外调查结果还显示,CIO 们曾经开始意识到他们须要进步软件供应链的安全性:
- 68% 的企业正在施行更多的安全控制
- 57% 的企业正在更新其审核流程
- 56% 的企业正在扩充对代码签名的应用,这是软件供应链的要害安全控制。
- 47% 的企业正在钻研他们的开源库的起源
尽管企业开始器重软件供应链平安,但依然很难确定危险的确切地位,哪些改良提供了最大的安全性晋升,以及这些变动如何随着工夫的推移升高危险。可能咱们无奈应用现有办法解决这些问题,但咱们须要以不同的形式思考咱们正在构建和应用的代码的身份和完整性,从而在开发过程的每一步无效且高效的爱护软件平安。