软件供应链安全:寻找最薄弱的环节

news2024/12/23 14:13:32

在当今的数字时代,软件占据主导地位,成为全球组织业务和创新的支柱。它是差异化、项目效率、成本降低和竞争力背后的驱动力。软件决定了企业如何运营、管理与客户、员工和合作伙伴的关系,以及充分利用他们的数据。

挑战在于,当今的大多数软件都不是从头开始开发的,也不是将安全性放在首位。无论是内部开发(“第一方”)还是外部采购(“第三方”),它通常包含预构建代码块的复杂组合,其中许多代码块使用开源库,并且可能具有不同的年龄和质量。 

事实上,我们对 2023 年 TruRisk 研究报告中超过 13 万亿个匿名数据点的分析发现,79% 的已安装服务器使用开源组件。

这一现实给所谓的“软件供应链”带来了漏洞,为寻求利用薄弱环节访问关键数据和系统的攻击者提供了主要目标,特别是在当今的多云环境中。因此,研究公司 Enterprise Strategy Group (ESG) 最近的一项调查发现,惊人的 91% 的受访者表示在过去 12 个月内经历过软件供应链事件,这一点也就不足为奇了。

鉴于这些风险,保护软件供应链变得更加重要。那么,企业可以采取哪些措施来防御软件供应链攻击呢?”

内部软件管理:加强安全的重要一步

安全团队必须首先创建公司现有第一方软件的全面清单,包括其不同的组件和版本。 

令人惊讶的是,许多组织都在努力实现这种基本的洞察力。

为什么有差距?通常,由于依赖手动检查和运行脱节的基于脚本的测试来评估第一方软件。这种方法会导致评估不一致和遗漏漏洞,而传统工具无法检测嵌入式开源软件包则加剧了这种情况。

扩展您的安全方法以涵盖第一方软件应用程序至关重要。通过这样做,您可以使团队能够识别风险并确定风险的优先级,为全面实施稳健的安全措施奠定坚实的基础。

物料清单:通过透明度增强安全性

第三方软件提出了独特的挑战:如果没有所有权,就很难评估潜伏在其中的安全风险。软件物料清单 (SBOM) 是一种在网络安全领域越来越受欢迎的解决方案。

SBOM 通过列出应用程序中使用的所有组件来提供重要的见解,使团队能够识别漏洞并有效地确定优先级和管理风险。尽管 SBOM 仍处于新兴阶段,但它正在全球范围内获得监管支持。

例如,澳大利亚网络安全中心 (ACSC) 在 2023 年 3 月发布的《软件开发指南》中强调了 SBOM 的重要性,美国政府和欧盟也围绕 SBOM 制定了相关授权,强调了它们在增强网络弹性方面的重要性。

尽管如此,SBOM 经常在 CISO 的待办事项清单上因优先事项相互竞争而陷入困境。然而,它们的实施对于防范不断变化的网络威胁仍然至关重要,值得全球企业的关注和采取行动。

改进围绕安全的整体流程

与任何安全工作一样,保护软件供应链取决于传入的数据以及将信息转化为行动的速度。然而,现代软件的复杂性意味着很容易忽视潜在的漏洞,无论是您自己组织的软件还是其他公司或来源的产品。

增强安全性首先要获取全面的数据。然而,仅有数据还不够,它必须结合实际情况才能付诸行动。如果没有这种洞察力,在应用程序中确定更改的优先级或让供应商对更新负责就会变得令人畏惧。同样,管理潜在风险并在问题出现之前避免问题也成为一项艰巨的任务。

因此,风险和软件治理的整体方法至关重要。通过集成有关第一方和第三方应用程序风险的数据,您的团队可以更好地了解潜在威胁、识别必要的更改并促进有效的问题解决。

技术的转变

对不断变化的网络威胁保持警惕至关重要,特别是在关键安全技能短缺的情况下。

在这里,必须利用技术来自动收集数据、持续洞察软件基础设施并有效地确定风险的优先级,以便在潜在威胁升级之前主动领先。

然而,不同安全工具在分散环境中的激增可能会导致混乱,因为它们提供了关于组织风险的不同视角,阻碍了有效的风险管理和补救工作。

我们需要一个统一的平台来整合跨环境(包括多云)的数据,提供全面的可见性和上下文以高效解决安全问题,促进安全、IT 和开发团队之间的协作,简化风险缓解工作并保护关键应用程序。

特别是,现代人工智能驱动的工具现在可以毫不费力地扫描各种计算工作负载的开源软件,通过识别多云环境中的漏洞并促进快速解决问题来显着降低供应链风险。

同样,网络安全资产管理解决方案可以帮助解决管理未知或未托管资产的挑战,包括软件以及基于云的工作负载和物联网设备。通过利用此类工具嗅探网络流量,客户发现的不受管理和不受信任的资产平均增加了 34%,并将其与业务环境和风险评估无缝集成到漏洞管理计划中。

最后的想法

在供应链攻击不断增加的情况下,保护软件组件的重要性怎么强调都不为过,并且需要持续的警惕和奉献。企业必须通过采取全面的方法并培养安全意识文化来解决供应链安全方面的差距。 

通过优先考虑供应链安全并提高透明度和问责制,企业可以加强其软件运营并防范不断发展的数字环境中出现的新威胁。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1581146.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

[react优化] 避免组件或数据多次渲染/计算

代码如下 点击视图x➕1,导致视图更新, 视图更细导致a也重新大量计算!!这很浪费时间 function App() {const [x, setX] useState(3)const y x 2console.log(重新渲染, x, y);console.time(timer)let a 0for (let index 0; index < 1000000000; index) {a}console.timeE…

Linux服务器上搭建深度学习环境(安装anaconda、创建虚拟环境、安装pytorch)

Linux服务器的搭配 Linux服务器上安装anaconda创建虚拟环境linux上安装pytorchxshell连接服务器 Linux服务器上安装anaconda 链接 创建虚拟环境 参考教程&#xff1a;此处 linux上安装pytorch 链接 xshell连接服务器 链接

2025考研数学汤家凤基础班百度网盘视频+强化班PDF讲义持续更新

如果25考研想全程跟张宇老师&#xff0c;可以参考下面这个表格来使用资料&#xff1a; 2025考研数学全程课&#xff1a;链接&#xff1a;https://pan.baidu.com/s/1e6wA4OiH_EJpZPXPxoHYwg 提取码&#xff1a;om45 考研数学 考研数学无非就是汤家凤老师&#xff0c;张宇老师…

在Ubuntu Linux中安装boost库详细步骤

下载boost安装包 在Linux浏览器 Boost C Libraries 下载boost的最新版安装包 安装包解压缩 在安装目录中找到压缩包&#xff0c;右键点击压缩包&#xff0c;点击Extract to...解压缩至选择的目录 设置编译器 在解压缩后的目录中进入终端&#xff0c;运行命令&#xff1a; 如…

Redis分布式锁的实现和分析

关于 synchronized 项目单独部署时&#xff0c;使用 synchronized 可以实现并发安全&#xff0c;但如果项目搭建集群时&#xff0c;有多个线程同时对某项目中的数据修改时&#xff0c;可能会出现并发问题。 synchronized 关键字底层是 JVM 中的 monitor&#xff08;管程&…

【示例】Spring-IOC理解

前言 本文从常规的开发示例&#xff08;DAO、Service、Client&#xff09;入手&#xff0c;逐步体会理解IOC的原理及实现。 文中示例的代码地址&#xff1a; GitHubhttps://github.com/Web-Learn-GSF/Java_Learn_Examples父工程Java_Framework_Spring 示例 | 常规三层开发示…

stm32 之SPI通信协议

本文为大家介绍 SPI 通信协议的基础知识。 文章目录 前言一、SPI协议的概念二、SPI总线架构三、SPI通讯时序1. 起始&#xff0c;停止 信号2.CPOL&#xff08;时钟极性&#xff09;/CPHA&#xff08;时钟相位&#xff09; 四&#xff0c; I2C 总线 和SPI 总线比较相同点&#xf…

Flutter仿Boss-6.底部tab切换

效果 实现 图片资源采用boss包中的动画webp资源。Flutter采用Image加载webp动画。 遇到的问题 问题&#xff1a;Flutter加载webp再次加载无法再次播放动画问题 看如下代码&#xff1a; Image.asset(assets/images/xxx.webp,width: 40.w,height: 30.w, )运行的效果&#xf…

从二维数组到一维数组——探索01背包问题的动态规划优化

文章目录 题目前知背包问题 二维dp数组一、思路二、解题方法三、Code 一维dp数组一、思路二、解题方法三、Code 总结 本文将继续上一篇博客爬楼梯之后继续讲解同样用到了动态规划的 01背包问题 在解决动态规划问题时&#xff0c;我们经常面临着空间复杂度的挑战。01背包问题是…

前端三剑客 —— JavaScript (第二节)

目录 内容回顾 数据类型 基本数据类型&#xff1a; 引用数据类型&#xff1a; 常见运算 算术运算符 比较运算符 逻辑运算符 赋值运算符 自增/减运算符 三目运算符 位运算符 内容回顾 1.概述 2.基本数据 1.使用方式&#xff08;行内、页面、外部&#xff09; 2.对话框…

通信安全之数据加密

数据安全的需求如今越来越重要&#xff0c;本篇简单举例给日常的TCP/UDP通信加密&#xff0c;至少能让想干坏事的崽犯罪的成本更高一些&#xff08;如果会一些BPF的&#xff0c;可能难不住这些崽&#xff09;&#xff0c;能让我们的数据更安全一点。 经典TCP socket编程 下面…

佑雅的小布谷数据平台获取token如何实现

小博股数据开放平台是面向全部用户的股票数据开放平台&#xff0c;通过调用接口可以获取股票的历史数据。在调用之前需要进行下面的准备工作&#xff0c;第一步注册&#xff1a; 用户在注册之后&#xff0c;登录点击头像进入个人中心&#xff0c;在功能模块的最下方有一个创建应…

IntelliJ IDEA 2024.1安装与激活[破解]

一&#xff1a;IDEA官方下载 ①如题&#xff0c;先到IDEA官方下载&#xff0c;简简单单 ②IDEA官方&#xff1a;IntelliJ IDEA – the Leading Java and Kotlin IDE 二&#xff1a;获取脚本 &#x1f31f;网盘下载&#xff1a;jetbra (密码&#xff1a;lzh7) &#x1f31f;获取…

51单片机入门_江协科技_25~26_OB记录的笔记_蜂鸣器教程

25. 蜂鸣器 25.1. 蜂鸣器介绍 •蜂鸣器是一种将电信号转换为声音信号的器件&#xff0c;常用来产生设备的按键音、报警音等提示信号 •蜂鸣器按驱动方式可分为有源蜂鸣器和无源蜂鸣器&#xff08;开发板上用的无源蜂鸣器&#xff09; •有源蜂鸣器&#xff1a;内部自带振荡源&a…

报文 消息

报文消息域 MsgField name 域名称 length 长度 fillChar 填充字符 fillSide 填充位置 报文消息片 MsgPiece 由多个消息域按一定的顺序组成 private List<MsgField> itemList new LinkedList<~>();组装消息 报文消息包 MsgPackage 由多个消息片组成 String[]…

FreeRTOS启动任务调度器

FreeRTOS启动任务调度器 这部分内容就要去深入了解源码以及熟悉汇编语言的操作。依旧正点原子的视频。下面首先看开启任务调度器这部分源码&#xff1a; 1开启任务调度器 任务调度器用于启动任务调度器&#xff0c;任务调度器启动后&#xff0c; FreeRTOS 便会开始进行任务调…

MyBatis 应用的组成

王有志&#xff0c;一个分享硬核Java技术的互金摸鱼侠 加入Java人的提桶跑路群&#xff1a;共同富裕的Java人 大家好&#xff0c;我是王有志。在上一篇文章的最后&#xff0c;我们写了一个简单的例子&#xff0c;今天我们就通过这个例子来看一看一个标准的 MyBatis 应用程序由哪…

PS入门|如何使用“主体”功能进行抠图?

前言 前段时间讲到给各种图标和LOGO抠图的办法&#xff0c;分别使用的是 钢笔工具蒙版 PS入门&#xff5c;规规矩矩的图形怎么抠出来&#xff1f; 魔棒工具蒙版 PS入门&#xff5c;黑白色的图标怎么抠成透明背景 色阶蒙版 PS入门&#xff5c;目标比较复杂&#xff0c;但背景…

HTML+CSS+JS复习回顾

环境搭建 下载VScode&#xff0c;依次下载插件&#xff1a;HTML CSS support、Live Server、Auto Rename Tag 一、HTML篇 HTML通过一系列的标签&#xff08;元素&#xff09;来定义文本、图像、链接等。HTML标签是由尖括号包围的关键字。标签通常成对出现&#xff0c;包括开…

在Spring中使用Redis

端口怎么设置&#xff0c;看我前一篇文章 前面使用jedis&#xff0c;通过Jedis对象中各种方法来操作redis的。 此处Spring中则是通过StringRedisTemplate来操作redis。 最原始提供的类是RedisTemplate StringRedisTemplate是RedisTemplate的子类&#xff0c;专门处理文本数据的…