《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 實(shí)施軟件供應(yīng)鏈安全解決方案時(shí)的十大常見(jiàn)錯(cuò)誤

實(shí)施軟件供應(yīng)鏈安全解決方案時(shí)的十大常見(jiàn)錯(cuò)誤

2022-11-06
來(lái)源:安全419
關(guān)鍵詞: 供應(yīng)鏈安全

  開(kāi)源代碼在應(yīng)用程序中變得越來(lái)越普遍,隨著開(kāi)源軟件包數(shù)量不斷增加,不安全的組件越來(lái)越多地進(jìn)入世界各地的軟件供應(yīng)鏈。于是乎,保護(hù)軟件供應(yīng)鏈的需求逐步增長(zhǎng),但企業(yè)應(yīng)注意到在實(shí)施解決方案來(lái)管理風(fēng)險(xiǎn)時(shí)所犯的常見(jiàn)錯(cuò)誤。日前,Sonatype發(fā)布了《The Top 10 Mistakes when Implementing a Secure Software Supply Chain Solution》(以下簡(jiǎn)稱“《報(bào)告》”),為我們闡述了實(shí)施軟件供應(yīng)鏈安全解決方案時(shí)的十大常見(jiàn)錯(cuò)誤。

  01、不關(guān)注開(kāi)發(fā)人員的工作效率

  對(duì)于希望保護(hù)其軟件供應(yīng)鏈的企業(yè)而言,開(kāi)發(fā)人員的工作效率是一項(xiàng)共同挑戰(zhàn)。開(kāi)發(fā)人員需更換不安全的組件,這不會(huì)影響應(yīng)用程序的初始開(kāi)發(fā),但安全性需要預(yù)先成為開(kāi)發(fā)人員工作流程的一部分,這可以最大限度地降低應(yīng)用程序部署后的風(fēng)險(xiǎn)。

  02、未與 DevOps工具等集成

  與DevOps工具等集成應(yīng)成為企業(yè)的一項(xiàng)重要要求,其確保了軟件供應(yīng)鏈安全可以完全集成到企業(yè)的開(kāi)發(fā)環(huán)境中,而不僅僅是用作另一個(gè)獨(dú)立的應(yīng)用程序,這樣可以有效保護(hù)軟件供應(yīng)鏈安全。

  03、不關(guān)注數(shù)據(jù)準(zhǔn)確性和低誤報(bào)率

  低誤報(bào)率對(duì)于提高開(kāi)發(fā)人員的工作效率和增強(qiáng)對(duì)安全團(tuán)隊(duì)的信任至關(guān)重要。安全誤報(bào)已經(jīng)成為最大痛點(diǎn)之一,因?yàn)槠渲饕蝿?wù)是監(jiān)控安全事件并及時(shí)調(diào)查和響應(yīng),如果他們被成百上千的虛假警報(bào)淹沒(méi),無(wú)疑會(huì)分散其對(duì)真正威脅做出有效響應(yīng)的注意力。

  04、未掌握許可證信息

  許可證信息也可能不準(zhǔn)確或不合規(guī)。企業(yè)團(tuán)隊(duì)需要及時(shí)了解每個(gè)組件的任何版本發(fā)布、補(bǔ)丁和許可證問(wèn)題。

  05、不阻擋不需要的組件

  不安全的開(kāi)源組件應(yīng)該被阻止在軟件供應(yīng)鏈之外。這包括漏洞、盜版和不兼容的許可證等問(wèn)題。MIB集團(tuán)的高級(jí)企業(yè)架構(gòu)師表示其團(tuán)隊(duì)能夠定義他們?cè)敢獬袚?dān)的風(fēng)險(xiǎn)級(jí)別,以阻止不需要的開(kāi)源組件進(jìn)入其開(kāi)發(fā)生命周期。

  06、不跨“孤島”進(jìn)行規(guī)劃

  在實(shí)施軟件供應(yīng)鏈安全解決方案時(shí),一個(gè)常見(jiàn)的錯(cuò)誤是沒(méi)有跨企業(yè)內(nèi)的“孤島”進(jìn)行規(guī)劃。團(tuán)隊(duì)需要確保每個(gè)人(包括安全、開(kāi)發(fā)和 DevOps 團(tuán)隊(duì))都了解開(kāi)源安全和許可證管理所需的新流程和措施。

  07、不關(guān)注整個(gè) SLDC 自定義策略的實(shí)施

  另一個(gè)常見(jiàn)錯(cuò)誤與跨各種應(yīng)用程序類型實(shí)施不同類型的自定義策略有關(guān)。團(tuán)隊(duì)需要決定是否要對(duì)具有更寬松許可證的組件實(shí)施更嚴(yán)格的標(biāo)準(zhǔn),反之亦然。軟件企業(yè)在軟件開(kāi)發(fā)生命周期 (SDLC) 中集成安全性也是保護(hù)組織免受數(shù)據(jù)泄露和其他網(wǎng)絡(luò)攻擊的關(guān)鍵。

  08、在開(kāi)發(fā)運(yùn)營(yíng)和 AppSec 團(tuán)隊(duì)中沒(méi)有戰(zhàn)略和目標(biāo)

  企業(yè)需要意識(shí)到不實(shí)施特定軟件供應(yīng)鏈戰(zhàn)略的潛在影響,這包括解決軟件開(kāi)發(fā)團(tuán)隊(duì),安全團(tuán)隊(duì)和其他利益相關(guān)者的安全問(wèn)題。企業(yè)也應(yīng)該清楚,沒(méi)有實(shí)施軟件供應(yīng)鏈安全解決方案的目標(biāo)可能會(huì)導(dǎo)致成本隨著時(shí)間的推移而增加。

  09、未提高安全應(yīng)用程序的上市速度

  安全軟件供應(yīng)鏈的改進(jìn)使團(tuán)隊(duì)能夠更快地生成安全應(yīng)用程序,這可以加快新開(kāi)發(fā)項(xiàng)目和服務(wù)的上市時(shí)間。除了安全優(yōu)勢(shì)之外,此改進(jìn)還有助于企業(yè)避免因不安全的組件違規(guī)和可能引入應(yīng)用程序的漏洞而造成的重大責(zé)任。

  10、未盡快實(shí)施相應(yīng)的軟件供應(yīng)鏈安全解決方案

  企業(yè)盡早開(kāi)始實(shí)施相應(yīng)的軟件供應(yīng)鏈安全解決方案非常重要。企業(yè)面臨來(lái)自商業(yè)開(kāi)源組件的安全、許可和性能問(wèn)題的重大風(fēng)險(xiǎn)如果不加以解決,這些問(wèn)題可能會(huì)給開(kāi)發(fā)團(tuán)隊(duì)帶來(lái)更多的工作,同時(shí)也會(huì)增加成本。

  長(zhǎng)期專注于DevSecOps、軟件供應(yīng)鏈安全領(lǐng)域的老牌企業(yè)孝道科技給出了其解決方案:新一代數(shù)字化應(yīng)用安全平臺(tái)。平臺(tái)包含了孝道科技的三大安全原子能力,分別是IAST(交互式應(yīng)用安全測(cè)試系統(tǒng))、開(kāi)源組件安全檢測(cè)與分析系統(tǒng)(SCA)以及RASP(應(yīng)用的自適應(yīng)免疫防護(hù))。這三個(gè)能力之間有深度耦合以及智能協(xié)同,這意味著用戶在做交互式應(yīng)用安全測(cè)試時(shí),就可以同時(shí)有能力去針對(duì)漏洞的可達(dá)性、可利用性進(jìn)行測(cè)試,相當(dāng)于將組件安全和IAST有機(jī)的結(jié)合起來(lái)。

  最早投身軟件供應(yīng)鏈領(lǐng)域的安全企業(yè)懸鏡安全也給出了他們的解決方案。懸鏡安全憑借多年技術(shù)攻關(guān)首創(chuàng)專利級(jí)代碼疫苗技術(shù)和下一代積極防御框架,并通過(guò)“全流程軟件供應(yīng)鏈安全賦能平臺(tái)+敏捷安全工具鏈”的第三代DevSecOps智適應(yīng)威脅管理體系及配套的敏捷安全閉環(huán)產(chǎn)品體系、軟件供應(yīng)鏈安全組件化服務(wù),已幫助上千家用戶構(gòu)筑起適應(yīng)自身業(yè)務(wù)彈性發(fā)展、面向敏捷業(yè)務(wù)交付并引領(lǐng)未來(lái)架構(gòu)演進(jìn)的內(nèi)生積極防御體系。



  更多信息可以來(lái)這里獲取==>>電子技術(shù)應(yīng)用-AET<<

二維碼.png


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無(wú)法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問(wèn)題,請(qǐng)及時(shí)通過(guò)電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。