Anchore最近的調查研究表明，2021年里，五分之三以上的公司遭遇過軟件供應鏈攻擊。調查征集了IT、安全、開發(fā)和DevOps領域428位高管、主管和經(jīng)理的意見，結果顯示：近三分之一（30%）的受訪者所在企業(yè)在2021年所受軟件供應鏈攻擊的影響為嚴重或中等。僅6%的受訪者認為攻擊對其軟件供應鏈的影響很小。

　　調查結果呈現(xiàn)了Apache Log4實用程序漏洞暴露前后軟件供應鏈攻擊的變化。研究人員在2021年12月3日至12月30日期間編撰此調查報告，而Log4j漏洞是在12月9日披露的。12月9日之前，55%的受訪者表示自己遭遇了軟件供應鏈攻擊。這個日期之后，表示遭遇軟件供應鏈攻擊的受訪者上升到了65%。

　　Anchore高級副總裁Kim Weins表示：“這意味著有受訪者在Log4j之前沒有遭遇供應鏈攻擊，還有受訪者之前經(jīng)歷了攻擊，但在Log4j之后所受影響加重了。”

　　科技公司受軟件供應鏈攻擊的影響更大

　　調查還發(fā)現(xiàn)，與其他行業(yè)相比（3%），受軟件供應鏈攻擊嚴重影響的科技公司更多（15%）。Wein稱：“科技公司有可能提高惡意攻擊者的投資回報率。只要攻擊者可以染指軟件產(chǎn)品，而該軟件產(chǎn)品為成千上萬的用戶所用，那么攻擊者就能在萬千其他公司中立足?！?/p>

　　許多企業(yè)似乎也開始重視供應鏈安全了：54%的受訪者將供應鏈安全視為首要或重要的關注領域。成熟容器用戶對供應鏈安全的關注度甚至更高：70%的成熟容器用戶表示供應鏈安全是其首要或重要關注點。

　　Weins表示：“你必須留意的依賴數(shù)量會隨著容器和云原生部署而增加。因此，隨著容器使用的愈加成熟，用戶逐漸意識到自己必須關注這些依賴所引入的新增攻擊面?！?/p>

　　軟件物料清單（SBOM）是保護軟件供應鏈的關鍵

　　調查報告指出，盡管很多受訪者將保護軟件供應鏈視為頭等大事，但將軟件物料清單（SBOM）納入自身安全態(tài)勢考量的受訪者卻很少。例如，僅不到三分之一的受訪者遵從了SBOM最佳實踐，而自家所有應用都具備完整SBOM的受訪者更是僅有18%。

　　Weins稱：“我們認為SBOM是確保軟件供應鏈安全的重要基礎，因為可以通過SBOM了解實際在用的軟件。”

　　曝出漏洞時，SBOM還有助于縮短安全團隊的響應時間。資產(chǎn)管理和治理解決方案公司JupiterOne首席信息安全官Sounil Yu指出：“如果沒有SBOM，修復這些漏洞的時間可能會延長至數(shù)月乃至數(shù)年”。

　　數(shù)字風險防護解決方案提供商Digital Shadows首席信息安全官Rick Holland補充道：“缺乏SBOM，客戶就會購買黑盒解決方案，由此導致無法全面了解產(chǎn)品或服務中使用的所有組件?！?/p>

　　Weins堅定認為，SBOM是2022年必備?！按蠹叶己芮宄?，軟件安全始于了解你所擁有的一切，也就是擁有完整的組件列表，然后在交付軟件之前對照檢查是否全都安全。而在軟件部署之后，你還需要持續(xù)監(jiān)測軟件的安全性?！?/p>