《電子技術應用》
您所在的位置:首頁 > 通信與網(wǎng)絡 > 業(yè)界動態(tài) > 實施軟件供應鏈安全解決方案時的十大常見錯誤

實施軟件供應鏈安全解決方案時的十大常見錯誤

2022-11-06
來源:安全419
關鍵詞: 供應鏈安全

  開源代碼在應用程序中變得越來越普遍,隨著開源軟件包數(shù)量不斷增加,不安全的組件越來越多地進入世界各地的軟件供應鏈。于是乎,保護軟件供應鏈的需求逐步增長,但企業(yè)應注意到在實施解決方案來管理風險時所犯的常見錯誤。日前,Sonatype發(fā)布了《The Top 10 Mistakes when Implementing a Secure Software Supply Chain Solution》(以下簡稱“《報告》”),為我們闡述了實施軟件供應鏈安全解決方案時的十大常見錯誤。

  01、不關注開發(fā)人員的工作效率

  對于希望保護其軟件供應鏈的企業(yè)而言,開發(fā)人員的工作效率是一項共同挑戰(zhàn)。開發(fā)人員需更換不安全的組件,這不會影響應用程序的初始開發(fā),但安全性需要預先成為開發(fā)人員工作流程的一部分,這可以最大限度地降低應用程序部署后的風險。

  02、未與 DevOps工具等集成

  與DevOps工具等集成應成為企業(yè)的一項重要要求,其確保了軟件供應鏈安全可以完全集成到企業(yè)的開發(fā)環(huán)境中,而不僅僅是用作另一個獨立的應用程序,這樣可以有效保護軟件供應鏈安全。

  03、不關注數(shù)據(jù)準確性和低誤報率

  低誤報率對于提高開發(fā)人員的工作效率和增強對安全團隊的信任至關重要。安全誤報已經(jīng)成為最大痛點之一,因為其主要任務是監(jiān)控安全事件并及時調(diào)查和響應,如果他們被成百上千的虛假警報淹沒,無疑會分散其對真正威脅做出有效響應的注意力。

  04、未掌握許可證信息

  許可證信息也可能不準確或不合規(guī)。企業(yè)團隊需要及時了解每個組件的任何版本發(fā)布、補丁和許可證問題。

  05、不阻擋不需要的組件

  不安全的開源組件應該被阻止在軟件供應鏈之外。這包括漏洞、盜版和不兼容的許可證等問題。MIB集團的高級企業(yè)架構師表示其團隊能夠定義他們愿意承擔的風險級別,以阻止不需要的開源組件進入其開發(fā)生命周期。

  06、不跨“孤島”進行規(guī)劃

  在實施軟件供應鏈安全解決方案時,一個常見的錯誤是沒有跨企業(yè)內(nèi)的“孤島”進行規(guī)劃。團隊需要確保每個人(包括安全、開發(fā)和 DevOps 團隊)都了解開源安全和許可證管理所需的新流程和措施。

  07、不關注整個 SLDC 自定義策略的實施

  另一個常見錯誤與跨各種應用程序類型實施不同類型的自定義策略有關。團隊需要決定是否要對具有更寬松許可證的組件實施更嚴格的標準,反之亦然。軟件企業(yè)在軟件開發(fā)生命周期 (SDLC) 中集成安全性也是保護組織免受數(shù)據(jù)泄露和其他網(wǎng)絡攻擊的關鍵。

  08、在開發(fā)運營和 AppSec 團隊中沒有戰(zhàn)略和目標

  企業(yè)需要意識到不實施特定軟件供應鏈戰(zhàn)略的潛在影響,這包括解決軟件開發(fā)團隊,安全團隊和其他利益相關者的安全問題。企業(yè)也應該清楚,沒有實施軟件供應鏈安全解決方案的目標可能會導致成本隨著時間的推移而增加。

  09、未提高安全應用程序的上市速度

  安全軟件供應鏈的改進使團隊能夠更快地生成安全應用程序,這可以加快新開發(fā)項目和服務的上市時間。除了安全優(yōu)勢之外,此改進還有助于企業(yè)避免因不安全的組件違規(guī)和可能引入應用程序的漏洞而造成的重大責任。

  10、未盡快實施相應的軟件供應鏈安全解決方案

  企業(yè)盡早開始實施相應的軟件供應鏈安全解決方案非常重要。企業(yè)面臨來自商業(yè)開源組件的安全、許可和性能問題的重大風險如果不加以解決,這些問題可能會給開發(fā)團隊帶來更多的工作,同時也會增加成本。

  長期專注于DevSecOps、軟件供應鏈安全領域的老牌企業(yè)孝道科技給出了其解決方案:新一代數(shù)字化應用安全平臺。平臺包含了孝道科技的三大安全原子能力,分別是IAST(交互式應用安全測試系統(tǒng))、開源組件安全檢測與分析系統(tǒng)(SCA)以及RASP(應用的自適應免疫防護)。這三個能力之間有深度耦合以及智能協(xié)同,這意味著用戶在做交互式應用安全測試時,就可以同時有能力去針對漏洞的可達性、可利用性進行測試,相當于將組件安全和IAST有機的結合起來。

  最早投身軟件供應鏈領域的安全企業(yè)懸鏡安全也給出了他們的解決方案。懸鏡安全憑借多年技術攻關首創(chuàng)專利級代碼疫苗技術和下一代積極防御框架,并通過“全流程軟件供應鏈安全賦能平臺+敏捷安全工具鏈”的第三代DevSecOps智適應威脅管理體系及配套的敏捷安全閉環(huán)產(chǎn)品體系、軟件供應鏈安全組件化服務,已幫助上千家用戶構筑起適應自身業(yè)務彈性發(fā)展、面向敏捷業(yè)務交付并引領未來架構演進的內(nèi)生積極防御體系。



  更多信息可以來這里獲取==>>電子技術應用-AET<<

二維碼.png


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權歸版權所有權人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認版權者。如涉及作品內(nèi)容、版權和其它問題,請及時通過電子郵件或電話通知我們,以便迅速采取適當措施,避免給雙方造成不必要的經(jīng)濟損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。