Anchore最近的調(diào)查研究表明，2021年里，五分之三以上的公司遭遇過(guò)軟件供應(yīng)鏈攻擊。調(diào)查征集了IT、安全、開(kāi)發(fā)和DevOps領(lǐng)域428位高管、主管和經(jīng)理的意見(jiàn)，結(jié)果顯示：近三分之一（30%）的受訪者所在企業(yè)在2021年所受軟件供應(yīng)鏈攻擊的影響為嚴(yán)重或中等。僅6%的受訪者認(rèn)為攻擊對(duì)其軟件供應(yīng)鏈的影響很小。

　　調(diào)查結(jié)果呈現(xiàn)了Apache Log4實(shí)用程序漏洞暴露前后軟件供應(yīng)鏈攻擊的變化。研究人員在2021年12月3日至12月30日期間編撰此調(diào)查報(bào)告，而Log4j漏洞是在12月9日披露的。12月9日之前，55%的受訪者表示自己遭遇了軟件供應(yīng)鏈攻擊。這個(gè)日期之后，表示遭遇軟件供應(yīng)鏈攻擊的受訪者上升到了65%。

　　Anchore高級(jí)副總裁Kim Weins表示：“這意味著有受訪者在Log4j之前沒(méi)有遭遇供應(yīng)鏈攻擊，還有受訪者之前經(jīng)歷了攻擊，但在Log4j之后所受影響加重了。”

　　科技公司受軟件供應(yīng)鏈攻擊的影響更大

　　調(diào)查還發(fā)現(xiàn)，與其他行業(yè)相比（3%），受軟件供應(yīng)鏈攻擊嚴(yán)重影響的科技公司更多（15%）。Wein稱：“科技公司有可能提高惡意攻擊者的投資回報(bào)率。只要攻擊者可以染指軟件產(chǎn)品，而該軟件產(chǎn)品為成千上萬(wàn)的用戶所用，那么攻擊者就能在萬(wàn)千其他公司中立足?！?/p>

　　許多企業(yè)似乎也開(kāi)始重視供應(yīng)鏈安全了：54%的受訪者將供應(yīng)鏈安全視為首要或重要的關(guān)注領(lǐng)域。成熟容器用戶對(duì)供應(yīng)鏈安全的關(guān)注度甚至更高：70%的成熟容器用戶表示供應(yīng)鏈安全是其首要或重要關(guān)注點(diǎn)。

　　Weins表示：“你必須留意的依賴數(shù)量會(huì)隨著容器和云原生部署而增加。因此，隨著容器使用的愈加成熟，用戶逐漸意識(shí)到自己必須關(guān)注這些依賴所引入的新增攻擊面?！?/p>

　　軟件物料清單（SBOM）是保護(hù)軟件供應(yīng)鏈的關(guān)鍵

　　調(diào)查報(bào)告指出，盡管很多受訪者將保護(hù)軟件供應(yīng)鏈視為頭等大事，但將軟件物料清單（SBOM）納入自身安全態(tài)勢(shì)考量的受訪者卻很少。例如，僅不到三分之一的受訪者遵從了SBOM最佳實(shí)踐，而自家所有應(yīng)用都具備完整SBOM的受訪者更是僅有18%。

　　Weins稱：“我們認(rèn)為SBOM是確保軟件供應(yīng)鏈安全的重要基礎(chǔ)，因?yàn)榭梢酝ㄟ^(guò)SBOM了解實(shí)際在用的軟件?！?/p>

　　曝出漏洞時(shí)，SBOM還有助于縮短安全團(tuán)隊(duì)的響應(yīng)時(shí)間。資產(chǎn)管理和治理解決方案公司JupiterOne首席信息安全官Sounil Yu指出：“如果沒(méi)有SBOM，修復(fù)這些漏洞的時(shí)間可能會(huì)延長(zhǎng)至數(shù)月乃至數(shù)年”。

　　數(shù)字風(fēng)險(xiǎn)防護(hù)解決方案提供商Digital Shadows首席信息安全官Rick Holland補(bǔ)充道：“缺乏SBOM，客戶就會(huì)購(gòu)買黑盒解決方案，由此導(dǎo)致無(wú)法全面了解產(chǎn)品或服務(wù)中使用的所有組件。”

　　Weins堅(jiān)定認(rèn)為，SBOM是2022年必備。“大家都很清楚，軟件安全始于了解你所擁有的一切，也就是擁有完整的組件列表，然后在交付軟件之前對(duì)照檢查是否全都安全。而在軟件部署之后，你還需要持續(xù)監(jiān)測(cè)軟件的安全性?！?/p>