來源:今日熱點網
全球互聯數字供應鏈時代下,軟件已經滲透到我們工作和生活的方方面面,與各個領域緊密銜接。軟件開發和生產也從傳統的封閉、單一模式轉變為現代的分布式、多樣化模式,形成“軟件供應鏈”。然而,軟件供應鏈安全市場在蓬勃發展的同時,也逐步趨于復雜化和多樣化,其安全風險不斷加劇,引發全球的擔憂。
尤其在重保場景下,攻擊者可以利用軟件供應鏈其中的一個弱點或者漏洞,突破邊界防線,直接導致核心業務應用被攻破和重要數字資產的丟失,這種滲透內部獲取機密或者植入惡意代碼引起的破防比例極高。
此前爆發的SolarWinds、Log4j、Microsoft和Okta等多個軟件供應鏈攻擊事件對企業造成嚴重的沖擊,也對全球經濟構成顯著威脅。Gartner報告指出,惡意代碼注入威脅次數的增加使得保護內部代碼及外部依賴項(開源和商業軟件)變得越發重要,到2025年全球45%組織機構的軟件供應鏈將遭到攻擊,這個數據將會是2021年的三倍。
軟件供應鏈,哪個環節掉鏈了?
您是否被以下問題困擾:
企業使用的軟件因軟件供應鏈漏洞易被攻陷軟件工程包含開源組件、開源代碼存在風險
無法快速定位自家軟件的組件的0day漏洞
● 事前 無法提前感知
截至 2023 年 9 月,Sonatype《軟件供應鏈狀況》報告顯示,研究團隊共發現了 245,032 個惡意軟件包,是往年總和的 2 倍。八分之一的開源下載存在已知風險,且仍有 23% 的 Log4j 下載存在嚴重漏洞??梢?,大多數企業在業務上線前,是無法提前感知研發流水線中開源組件/代碼的安全問題。在軟件應用生命周期里,修復漏洞的成本隨著發現漏洞階段的進程呈幾何級數增長,傳統的漏洞檢測方法通常只能在業務系統開發完成后才能介入,這導致漏洞的修復成本高昂,甚至很多漏洞在安全事件發生后才會被發現及修正。
● 事中 無法快速響應
重保響應中,企業往往難以迅速定位哪些業務應用程序中包含0Day漏洞或供應鏈中的惡意組件,而供應鏈投毒則涉及到在軟件或硬件的供應鏈中植入惡意代碼,這樣的行為可能在產品分發之前就已經發生,使得傳統的安全措施難以發現。
● 事后 核心業務容易破防
與過去相比,現代網絡系統環境變得更加復雜,許多組織現在依賴于智能化、云服務和開源技術。業務運營涉及眾多參與者,使得供應鏈管理變得更加復雜。隨著越來越多的第三方外包公司參與到供應鏈中,供應鏈的鏈條變得更長。任何環節的數據泄露、惡意代碼注入或服務中斷都可能對整個供應鏈造成嚴重破壞,企業核心業務因此破防。鑒于軟件供應鏈安全問題涉及到層面過于復雜,有來自開源組件使用問題,典型如log4j組件漏洞、xz組件漏洞,有上游的管理權限問題,也有自身代碼問題等,這條鏈子上但凡哪一環節出現問題,都會危害整個鏈路安全。因此,如何一鍵護航軟件供應鏈,快準狠確保使用的組件安全,成為安全廠商的重要課題。
場景落地打造“共贏鏈”
● 風險源強把控
將安全插件集成到軟件開發生命周期(SDLC)和研發流程中,推動“安全左移”策略的實施。在發布前對發布包進行安全檢查,以保證軟件的安全性和合規性,確保發布流程中的關鍵安全檢查點得到有效建立。
● 自查風險修復
主動掃描軟件供應鏈中使用的第三方組件和開源軟件,監控整個供應鏈的安全性。將不同供應商的系統和應用集成后,進行統一的安全測試,厘清責任歸屬,實現精確的漏洞掃描,并提供專業的漏洞修復方案。
● 敏感信息收斂
支持對密鑰、設備、通用敏感信息等多個敏感項的檢查,并對系統中的網絡、服務、文件、進程、權限等進行安全審計,以降低信息泄露和非法利用的風險。
● 快速定位響應
通過實現函數級別的分析,主動評估合規風險,確保軟件供應鏈的每個環節都滿足可追溯性和完整性的要求。利用軟件物料清單(SBOM)提高軟件的透明度,有效識別易受攻擊的組件,從而增強快速響應能力。
覆蓋SDLC全流程上線暢通“供應鏈”
事實上,軟件供應鏈問題涉及人員素質、操作流程及安全意識等多個維度,并非僅是技術層面的問題。面對軟件開發流程中的供應鏈安全威脅,需要將軟件供應鏈安全風險與軟件開發生命周期(SDLC)緊密結合起來考慮,確保安全實踐與開發流程緊密結合。
騰訊軟件供應鏈方案覆蓋SDLC全流程上線,強調始終使用安全組件的重要性,以確保風險能夠第一時間得到控制。它包括建立軟件安全準入體系、開發運營風險管控和合規、風險與隱私管控三大方面,以及軟件準入、開源管理、軟件依賴、漏洞管理、版本管理、來源管理和威脅情報等七個關鍵環節,從代碼托管、代碼編寫、單元測試、構建部署、集成測試、制品管理和持續部署等整鏈環環相扣,為軟件供應鏈運行保駕護航,是企業的等保合規利器。
● 重保期間,騰訊安全軟件成分分析工具限時贈送試用流量:
● 更多個性私有化方案歡迎通過產品官網聯系騰訊安全團隊!
免責聲明:市場有風險,選擇需謹慎!此文僅供參考,不作買賣依據。
關鍵詞:
關于我們 加入我們 聯系我們 商務合作 粵ICP備2022077823號
創氪網 www.hbftgdzb.com 版權所有 技術支持:廣州中創互聯網信息服務有限公司
投稿投訴聯系郵箱:317 493 128 @qq.com