構(gòu)建安全軟件供應(yīng)鏈的12條建議

由于在企業(yè)軟件供應(yīng)鏈中可能導(dǎo)致安全風(fēng)險(xiǎn)的因素非常復(fù)雜,因此保障軟件供應(yīng)鏈安全并非純粹的技術(shù)性問題,而是要綜合考慮人、流程和知識的問題。企業(yè)組織在解決軟件供應(yīng)鏈安全問題時(shí),需要基于軟件應(yīng)用的全生命周期來考慮,監(jiān)控和保護(hù)其中的每個(gè)環(huán)節(jié)。

360截圖16251112669372.png

本文來自微信公眾號“安全牛”,由安全牛編譯整理。

軟件供應(yīng)鏈攻擊正成為一種常見的非法獲取商業(yè)信息的犯罪形式。有研究數(shù)據(jù)顯示,現(xiàn)代軟件系統(tǒng)的底層代碼中超過90%都是開源的,這意味著幾乎所有軟件的研發(fā)與應(yīng)用都存在著一條供應(yīng)鏈,包括各種組件的引用,以及在軟件設(shè)計(jì)、開發(fā)、測試、部署和維護(hù)期間所涉及的各種環(huán)節(jié),安全漏洞隨時(shí)可能出現(xiàn)。

由于在企業(yè)軟件供應(yīng)鏈中可能導(dǎo)致安全風(fēng)險(xiǎn)的因素非常復(fù)雜,因此保障軟件供應(yīng)鏈安全并非純粹的技術(shù)性問題,而是要綜合考慮人、流程和知識的問題。企業(yè)組織在解決軟件供應(yīng)鏈安全問題時(shí),需要基于軟件應(yīng)用的全生命周期來考慮,監(jiān)控和保護(hù)其中的每個(gè)環(huán)節(jié)。

近日,《福布斯》雜志技術(shù)委員會的多位安全專家就現(xiàn)代企業(yè)組織如何構(gòu)建安全軟件供應(yīng)鏈進(jìn)行了研討,并給出了12條加強(qiáng)軟件應(yīng)用安全的實(shí)用建議。

建議1 制定供應(yīng)鏈安全計(jì)劃,由CISO負(fù)責(zé)

保障軟件供應(yīng)鏈安全不只是某個(gè)部門的事,而是需要成為企業(yè)整體發(fā)展戰(zhàn)略計(jì)劃的一部分,并讓左右人都能理解這樣做的原因。為了確保軟件供應(yīng)鏈順暢平穩(wěn)運(yùn)行,組織首先要做的一件事就是制定一項(xiàng)嚴(yán)密的安全防護(hù)計(jì)劃,并聘請專職的首席安全官(CISO)來制定和落地這項(xiàng)計(jì)劃,而不是只是將計(jì)劃發(fā)布出來而已。

建議2  確保供應(yīng)鏈的可觀察性

很多企業(yè)長期以來只關(guān)注自身網(wǎng)絡(luò)安全的防護(hù),而忽略了供應(yīng)商產(chǎn)品的安全狀況,導(dǎo)致未經(jīng)過嚴(yán)格安全認(rèn)證與審核的訪問進(jìn)入企業(yè),帶來巨大風(fēng)險(xiǎn)。確保供應(yīng)鏈的可觀察性必不可少,軟件供應(yīng)鏈天然具有復(fù)雜性,只有通過持續(xù)的監(jiān)控分析,企業(yè)才能保證它們的安全進(jìn)化和發(fā)展,并確保長期可用性和安全性。

建議3 部署軟件供應(yīng)鏈管理系統(tǒng)

大多數(shù)企業(yè)對開發(fā)人員在研發(fā)時(shí)的開源代碼引用和軟件依賴關(guān)系缺乏足夠了解。如果不能有效清點(diǎn)軟件中的所有第三方組件,當(dāng)嚴(yán)重的零日漏洞突然發(fā)生時(shí),組織將無法了解自己是否會受到影響,哪些應(yīng)用會受到影響,以及影響的嚴(yán)重性如何。如果組織部署了軟件供應(yīng)鏈管理系統(tǒng),就能夠準(zhǔn)確判斷威脅態(tài)勢,并立即開始補(bǔ)救,避免安全事件發(fā)生。

建議4  基于SBOM制定分類計(jì)劃

軟件材料清單(SBOM)最近備受行業(yè)關(guān)注,但應(yīng)用SBOM只是基礎(chǔ),目的是可以了解軟件產(chǎn)品的各個(gè)組成部分。更關(guān)鍵的是,企業(yè)應(yīng)該基于已發(fā)現(xiàn)漏洞情報(bào)信息進(jìn)行威脅分析,對識別出的各種威脅進(jìn)行分類,并以此創(chuàng)建威脅處置流程。通過不斷重復(fù)上述工作,企業(yè)還可以不斷完善威脅處置流程。

建議5  運(yùn)用零信任策略

企業(yè)組織在構(gòu)建安全軟件供應(yīng)鏈時(shí),積極運(yùn)用零信任策略是一項(xiàng)非常實(shí)用的保障措施。在供應(yīng)鏈合作中,通過遵循零信任原則,企業(yè)可以更好審核供應(yīng)鏈服務(wù)的安全性,所有對于系統(tǒng)的訪問都會建立在身份、端點(diǎn)、服務(wù)等一系列角色基礎(chǔ)上,必須得到安全策略一致的驗(yàn)證和授權(quán)之后才能進(jìn)行。

建議6  將安全檢查融入開發(fā)流程

企業(yè)應(yīng)重視開發(fā)安全運(yùn)營(DevSecOps)。一種方法是將安全檢查工作列為開發(fā)人員必須完成的任務(wù)之一。無論是軟件設(shè)計(jì)過程中的威脅建模、錯(cuò)誤修復(fù),還是封堵代碼中的安全漏洞,應(yīng)用安全問題都需要被開發(fā)人員優(yōu)先考慮,并成為其日常開發(fā)工作的一部分。如果這部分工作要求沒有完成,就意味著其整個(gè)開發(fā)工作不能結(jié)項(xiàng)。

建議7  及時(shí)進(jìn)行補(bǔ)丁更新

及時(shí)進(jìn)行安全補(bǔ)丁和軟件版本更新是構(gòu)建安全軟件供應(yīng)鏈的重要步驟。為了保證第三方軟件及開發(fā)者值得信賴,在部署安全補(bǔ)丁和版本升級之前,還需要有適當(dāng)?shù)拇胧﹣韺ζ溥M(jìn)行安全審查和監(jiān)控。

建議8  貫徹安全編程和測試實(shí)踐

企業(yè)在構(gòu)建安全軟件供應(yīng)鏈時(shí)應(yīng)該貫徹安全編程和測試實(shí)踐,因?yàn)樗兄谠陂_發(fā)過程的早期階段識別和緩解安全漏洞,保護(hù)整個(gè)軟件系統(tǒng)免受攻擊。這一點(diǎn)很重要,因?yàn)檐浖?yīng)鏈往往涉及多個(gè)第三方合作伙伴,所有開發(fā)團(tuán)隊(duì)及人員均應(yīng)該保持一直的安全編程要求。

建議9  定期進(jìn)行離線代碼備份

科學(xué)的備份機(jī)制是防止數(shù)據(jù)竊取和勒索攻擊的最后一條防線。如果企業(yè)大量應(yīng)用了云計(jì)算技術(shù),定期進(jìn)行離線代碼備份工作將非常重要。企業(yè)應(yīng)該定期審查軟件服務(wù)提供商,尤其是提供關(guān)鍵應(yīng)用組件、銷售系統(tǒng)、財(cái)務(wù)系統(tǒng)的提供商。一旦發(fā)現(xiàn)存在風(fēng)險(xiǎn),就應(yīng)該及時(shí)手動(dòng)執(zhí)行離線的數(shù)據(jù)備份或數(shù)據(jù)恢復(fù)。

建議10 制作一份檢查清單

企業(yè)了解軟件供應(yīng)鏈?zhǔn)欠癜踩淖詈梅椒ň褪侵谱饕环輽z查清單,并以此進(jìn)行安全狀態(tài)檢查。檢查清單可以讓每個(gè)人都成為安全把關(guān)員,從而打造一條安全的軟件供應(yīng)鏈。不同類型企業(yè)對供應(yīng)鏈安全檢查的要求會有差異,但清單通常應(yīng)包括以下8個(gè)檢查點(diǎn):訪問控制、安全存儲、加密、安全傳輸、漏洞管理、定期更新、跟蹤系統(tǒng)和糾正措施。

建議11  應(yīng)用安全協(xié)作平臺

軟件系統(tǒng)的安全性取決于其生命周期中的最薄弱環(huán)節(jié)。隨著現(xiàn)代軟件供應(yīng)鏈的全球化趨勢發(fā)展,跨不同平臺和多個(gè)數(shù)據(jù)集進(jìn)行協(xié)作開發(fā)的需求急劇加大。雖然許多企業(yè)組織已采用了基于云的協(xié)作開發(fā)平臺,但目前軟件供應(yīng)鏈上協(xié)同溝通的最常見方式還通過郵件、電子表格和社交工具。企業(yè)應(yīng)該購置統(tǒng)一的安全開發(fā)協(xié)作平臺來降低隱患。

建議12 加強(qiáng)工程師的安全教育

保障數(shù)字化業(yè)務(wù)的安全開展已經(jīng)得到業(yè)界普遍認(rèn)同,企業(yè)組織也正在投入很多資源打造安全的軟件供應(yīng)鏈,并取得了一定的進(jìn)展,但人依然是整個(gè)軟件供應(yīng)鏈中最薄弱的因素。因此,企業(yè)需要加強(qiáng)內(nèi)、外部軟件工程師的安全意識教育,幫助他們提高對新工具、新技術(shù)和新威脅的認(rèn)識。

THEEND

最新評論(評論僅代表用戶觀點(diǎn))

更多
暫無評論