開(kāi)源代碼在應(yīng)用程序中變得越來(lái)越普遍，隨著開(kāi)源軟件包數(shù)量不斷增加，不安全的組件越來(lái)越多地進(jìn)入世界各地的軟件供應(yīng)鏈。于是乎，保護(hù)軟件供應(yīng)鏈的需求逐步增長(zhǎng)，但企業(yè)應(yīng)注意到在實(shí)施解決方案來(lái)管理風(fēng)險(xiǎn)時(shí)所犯的常見(jiàn)錯(cuò)誤。日前，Sonatype發(fā)布了《The Top 10 Mistakes when Implementing a Secure Software Supply Chain Solution》（以下簡(jiǎn)稱“《報(bào)告》”），為我們闡述了實(shí)施軟件供應(yīng)鏈安全解決方案時(shí)的十大常見(jiàn)錯(cuò)誤。

　　01、不關(guān)注開(kāi)發(fā)人員的工作效率

　　對(duì)于希望保護(hù)其軟件供應(yīng)鏈的企業(yè)而言，開(kāi)發(fā)人員的工作效率是一項(xiàng)共同挑戰(zhàn)。開(kāi)發(fā)人員需更換不安全的組件，這不會(huì)影響應(yīng)用程序的初始開(kāi)發(fā)，但安全性需要預(yù)先成為開(kāi)發(fā)人員工作流程的一部分，這可以最大限度地降低應(yīng)用程序部署后的風(fēng)險(xiǎn)。

　　02、未與 DevOps工具等集成

　　與DevOps工具等集成應(yīng)成為企業(yè)的一項(xiàng)重要要求，其確保了軟件供應(yīng)鏈安全可以完全集成到企業(yè)的開(kāi)發(fā)環(huán)境中，而不僅僅是用作另一個(gè)獨(dú)立的應(yīng)用程序，這樣可以有效保護(hù)軟件供應(yīng)鏈安全。

　　03、不關(guān)注數(shù)據(jù)準(zhǔn)確性和低誤報(bào)率

　　低誤報(bào)率對(duì)于提高開(kāi)發(fā)人員的工作效率和增強(qiáng)對(duì)安全團(tuán)隊(duì)的信任至關(guān)重要。安全誤報(bào)已經(jīng)成為最大痛點(diǎn)之一，因?yàn)槠渲饕蝿?wù)是監(jiān)控安全事件并及時(shí)調(diào)查和響應(yīng)，如果他們被成百上千的虛假警報(bào)淹沒(méi)，無(wú)疑會(huì)分散其對(duì)真正威脅做出有效響應(yīng)的注意力。

　　04、未掌握許可證信息

　　許可證信息也可能不準(zhǔn)確或不合規(guī)。企業(yè)團(tuán)隊(duì)需要及時(shí)了解每個(gè)組件的任何版本發(fā)布、補(bǔ)丁和許可證問(wèn)題。

　　05、不阻擋不需要的組件

　　不安全的開(kāi)源組件應(yīng)該被阻止在軟件供應(yīng)鏈之外。這包括漏洞、盜版和不兼容的許可證等問(wèn)題。MIB集團(tuán)的高級(jí)企業(yè)架構(gòu)師表示其團(tuán)隊(duì)能夠定義他們?cè)敢獬袚?dān)的風(fēng)險(xiǎn)級(jí)別，以阻止不需要的開(kāi)源組件進(jìn)入其開(kāi)發(fā)生命周期。

　　06、不跨“孤島”進(jìn)行規(guī)劃

　　在實(shí)施軟件供應(yīng)鏈安全解決方案時(shí)，一個(gè)常見(jiàn)的錯(cuò)誤是沒(méi)有跨企業(yè)內(nèi)的“孤島”進(jìn)行規(guī)劃。團(tuán)隊(duì)需要確保每個(gè)人（包括安全、開(kāi)發(fā)和 DevOps 團(tuán)隊(duì)）都了解開(kāi)源安全和許可證管理所需的新流程和措施。

　　07、不關(guān)注整個(gè) SLDC 自定義策略的實(shí)施

　　另一個(gè)常見(jiàn)錯(cuò)誤與跨各種應(yīng)用程序類型實(shí)施不同類型的自定義策略有關(guān)。團(tuán)隊(duì)需要決定是否要對(duì)具有更寬松許可證的組件實(shí)施更嚴(yán)格的標(biāo)準(zhǔn)，反之亦然。軟件企業(yè)在軟件開(kāi)發(fā)生命周期 （SDLC） 中集成安全性也是保護(hù)組織免受數(shù)據(jù)泄露和其他網(wǎng)絡(luò)攻擊的關(guān)鍵。

　　08、在開(kāi)發(fā)運(yùn)營(yíng)和 AppSec 團(tuán)隊(duì)中沒(méi)有戰(zhàn)略和目標(biāo)

　　企業(yè)需要意識(shí)到不實(shí)施特定軟件供應(yīng)鏈戰(zhàn)略的潛在影響，這包括解決軟件開(kāi)發(fā)團(tuán)隊(duì)，安全團(tuán)隊(duì)和其他利益相關(guān)者的安全問(wèn)題。企業(yè)也應(yīng)該清楚，沒(méi)有實(shí)施軟件供應(yīng)鏈安全解決方案的目標(biāo)可能會(huì)導(dǎo)致成本隨著時(shí)間的推移而增加。

　　09、未提高安全應(yīng)用程序的上市速度

　　安全軟件供應(yīng)鏈的改進(jìn)使團(tuán)隊(duì)能夠更快地生成安全應(yīng)用程序，這可以加快新開(kāi)發(fā)項(xiàng)目和服務(wù)的上市時(shí)間。除了安全優(yōu)勢(shì)之外，此改進(jìn)還有助于企業(yè)避免因不安全的組件違規(guī)和可能引入應(yīng)用程序的漏洞而造成的重大責(zé)任。

　　10、未盡快實(shí)施相應(yīng)的軟件供應(yīng)鏈安全解決方案

　　企業(yè)盡早開(kāi)始實(shí)施相應(yīng)的軟件供應(yīng)鏈安全解決方案非常重要。企業(yè)面臨來(lái)自商業(yè)開(kāi)源組件的安全、許可和性能問(wèn)題的重大風(fēng)險(xiǎn)如果不加以解決，這些問(wèn)題可能會(huì)給開(kāi)發(fā)團(tuán)隊(duì)帶來(lái)更多的工作，同時(shí)也會(huì)增加成本。

　　長(zhǎng)期專注于DevSecOps、軟件供應(yīng)鏈安全領(lǐng)域的老牌企業(yè)孝道科技給出了其解決方案：新一代數(shù)字化應(yīng)用安全平臺(tái)。平臺(tái)包含了孝道科技的三大安全原子能力，分別是IAST（交互式應(yīng)用安全測(cè)試系統(tǒng)）、開(kāi)源組件安全檢測(cè)與分析系統(tǒng)（SCA）以及RASP（應(yīng)用的自適應(yīng)免疫防護(hù)）。這三個(gè)能力之間有深度耦合以及智能協(xié)同，這意味著用戶在做交互式應(yīng)用安全測(cè)試時(shí)，就可以同時(shí)有能力去針對(duì)漏洞的可達(dá)性、可利用性進(jìn)行測(cè)試，相當(dāng)于將組件安全和IAST有機(jī)的結(jié)合起來(lái)。

　　最早投身軟件供應(yīng)鏈領(lǐng)域的安全企業(yè)懸鏡安全也給出了他們的解決方案。懸鏡安全憑借多年技術(shù)攻關(guān)首創(chuàng)專利級(jí)代碼疫苗技術(shù)和下一代積極防御框架，并通過(guò)“全流程軟件供應(yīng)鏈安全賦能平臺(tái)+敏捷安全工具鏈”的第三代DevSecOps智適應(yīng)威脅管理體系及配套的敏捷安全閉環(huán)產(chǎn)品體系、軟件供應(yīng)鏈安全組件化服務(wù)，已幫助上千家用戶構(gòu)筑起適應(yīng)自身業(yè)務(wù)彈性發(fā)展、面向敏捷業(yè)務(wù)交付并引領(lǐng)未來(lái)架構(gòu)演進(jìn)的內(nèi)生積極防御體系。

　　更多信息可以來(lái)這里獲取==>>電子技術(shù)應(yīng)用-AET<<