乐趣区

关于开源:CIO们开始将软件供应链升级为安全优先级top

开源之所以在软件开发中大量应用的起因是它提供了通过良好测试的构建块,能够减速简单应用程序和服务的创立。然而第三方软件组件以及包和容器的便利性同时也带来了危险——软件供应链攻打。

软件供应链攻打日益广泛,Gartner 将其列为 2022 年的第二大威逼。Gartner 预测,到 2025 年,寰球 45% 的组织将蒙受一次或屡次软件供应链攻打,在参加调研的 CIO 中有 82% 认为他们所在的企业将容易受到攻打。其中包含通过宽泛应用的软件组件(如 Log4j)中的破绽进行的攻打、针对构建流水线的攻打(如 SolarWinds、Kaseya 和 Codecov hacks),或者黑客入侵软件包存储库自身。

攻击者逐步发现软件供应链是最单薄的环节,将攻打优先级从生产环境转移到软件供应链,这也就是为什么软件供应链攻打数量激增的起因。对应用开源代码库的钻研表明,破绽和过期或废除的组件很常见:81% 的代码库至多有一个破绽,50% 的代码库有多个高风险破绽,88% 应用的组件不是最新版本或两年内没有新开发。

对于“影子代码”的思考

CIO 们在制订软件供应链平安防护策略时,能够假如他们的开发人员的开发环境和应用的工具都曾经收到侵害,借鉴此类场景来制订策略和政策,来最大限度缩小攻打对企业软件供应链的影响和侵害。

倡议 CIO 们像看待影子 IT 一样去思考“影子代码”的影响与威逼。因而这不仅是一个平安问题,而是真正深刻到如何获取软件的问题,不管这个软件是开源的还是商业的。如何将开源软件带入开发和生产环境,如何更新,如何管制以及怎么管制,这些都是值得思考的问题。

SBOM——进步可见性的要害

物理供应链曾经应用标签、成分清单、平安数据表和资料清单,因而监管机构和消费者晓得产品的最终后果。新举措旨在将相似的办法利用于软件,帮忙组织理解依赖关系网络及其软件开发过程的攻击面。美国政府关于软件供应链平安的行政令要求向联邦政府提供软件的软件供应商提供软件物料清单 (SBOM),并应用 SLSA 安全检查表的供应链级别来避免篡改。也正因为如此,越来越多企业开始认真对待他们的软件供应链。

Linux 基金会最近的一项考察发现,企业对 SBOM 的需要意识开始进步,目前 47% 的 IT 供应商、服务提供商和受监管的行业应用 SBOM,88% 的人预计将在 2023 年应用 SBOM。SBOM 对曾经对软件组件和 API 进行资产治理的企业最为有用,现在领有弱小软件开发流程的企业发现能够生成软件资料清单的工具更容易应用。SBOM 能够由构建零碎创立,也能够由软件组成剖析工具在预先生成。许多工具能够集成到 CI/CD 流水线中并作为构建的一部分运行,甚至能够在下载库时运行。

为了让 SBOM 更好地发挥作用,企业须要明确开发团队获取开源软件的相干政策,开发人员须要分明地晓得公司的安全策略和政策是什么,为了保障开发软件平安,开发人员必须明确他们正在获取的开源软件是没有被篡改的。因而,CIO 们应该首先向他们的开发团队教育和灌输一些根本步骤,即应用新兴的行业标准办法,一是锁定构建零碎,二是创立一种可反复的办法来验证软件工件的可信度,而后再将它们带入开发和生产环境。

爱护流水线平安

爱护企业的软件交付流水线也很重要。NIST 的平安软件开发框架 (SSDF) 和 SLSA 是很好的终点:它们涵盖了各种成熟度级别的最佳实际,从简略的构建零碎开始,而后应用日志和元数据进行审计和事件响应。BitBucket、GitHub、GitLab 等版本控制系统都包含平安和拜访爱护性能(包含越来越精密的拜访策略管制、分支爱护、代码签名、要求所有贡献者进行 MFA 以及扫描秘密和凭据),但须要在应用的时候明确启用。此外能够通过在单个堆栈中施行 SLSA 来爱护构建流水线,例如用于可反复平安创立工件 (FRSCA) 的我的项目,尽管目前尚未具备投入生产的能力,但在将来 CIO 能够冀望在构建零碎时蕴含更多此类实际。

不过 CIO 们须要注意 SBOM 只是爱护流水线平安的解决方案中的一部分,且 SBOM 创立和应用 SBOM 的工具也仍在欠缺,申请和应用的过程也须要优化。因而在要求供应商提供 SBOM 时,还须要明确 SBOM 的更新频率,是否蕴含破绽报告和告诉等。企业还须要工具来浏览 SBOM,并制订流程以对这些工具的发现采取行动。

CIO 们该当明确 SBOM 是一种推动力,能够帮忙企业应答可能产生的事件,但它不是解决软件供应链平安的万能灵药。同时目前行业响应的速度以及围绕 SBOM 规范和代码证实仍有待进步和增强。不过随着对 SBOM 的需要回升,咱们对此能够放弃乐观态度。

SEAL 可能如何帮忙您

Seal 软件供应链防火墙旨在为企业提供代码平安、构建平安、依赖项平安及运行环境平安等 4 大防护,通过全链路扫描、问题关联及危险阻止的形式爱护企业软件供应链平安,升高企业安全漏洞修复老本。

退出移动版