构建安全软件供应链的几条提议
|
如今,以软件供应链为目标实施的攻击正在被广泛视为一项用于盗取商业信息的有害的犯罪活动。有研究数据显示,现代软件系统的底层代码中超过90%都是开源的,这意味着几乎所有软件的研发与应用都存在着一条供应链,包括各种组件的应用,以及在软件设计、开发、测试、部署和维护期间所涉及的各种环节,安全漏洞随时可能出现。 建议1制定供应链安全计划,由CISO负责 保障软件供应链安全不只是某个部门的事,而是需要成为企业整体发展战略计划的一部分,并让左有人都能理解这样做的原因。为了确保软件供应链顺畅平稳运行,组织首先要做的一件事就是制定一项严密的安全防护计划,并聘请专职的首席安全官(CISO)来制定和落实这项计划,而不是只是将计划发布出来而已。 建议2确保供应链的可观察性 很多企业长期以来只关注自身网络安全的防护,而忽略了供应商产品的安全状况,导致未经过严格安全认证与审核的访问进入企业,带来巨大风险。确保供应链的可观察性必不可少,软件供应链天然具有复杂性,只有通过持续的监控分析,企业才能保证它们的安全进化和发展,并确保长期可用性和安全性。 建议3部署软件供应链管理系统 大多数企业对开发人员在研发时的开源代码引用和软件依赖关系缺乏足够了解。如果不能有效清点软件中的所有第三方组件,当严重的零日漏洞突然发生时,组织将无法了解自己是否会受到影响,哪些应用会受到影响,以及影响的严重性如何。如果组织部署了软件供应链管理系统,就能够准确判断威胁态势,并立即开始补救,避免安全事件发生。 建议4基于SBOM制定分类计划 软件材料清单(SBOM)最近备受行业关注,但应用SBOM只是基础,目的是可以了解软件产品的各个组成部分。更关键的是,企业应该基于已发现漏洞情报信息进行威胁分析,对识别出的各种威胁进行分类,并以此创建威胁处置流程。通过不断重复上述流程化工作,大多数企业还可以不断完善各种类型的威胁事件的处置流程。 建议5及时进行补丁更新 及时进行安全补丁和软件版本更新是构建安全软件供应链的重要步骤。为了保证第三方软件及开发者值得信赖,在部署安全补丁和版本升级之前,还需要有适当的措施来对其进行安全审查和监控。这些问题包括但不限于:应用程序漏洞、恶意软件、网络钓鱼攻击、数据泄露、恶意代码以及其他威胁。 (编辑:银川站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
