注意!软件供应链安全挑战持续升级
软件供应链安全处于起步阶段
软件公司 ActiveState 做了一项关于开源软件供应链安全的调研,其中包括开源组件的安全性,以及关键软件开发流程的安全性和完整性。结果表明,软件供应链安全仍处于起步阶段。
保护软件供应链安全包括漏洞补救以及在整个软件开发过程中实施控制措施。关键开发流程包括:
- 导入 – 将第三方工具、库、代码片段、包和其他软件资源引入组织的过程是否安全?
- 构建 – 组织从源代码组装和构建开源工件的过程是否安全?
- 运行 – 组织在开发、测试和生产环境中处理、测试和运行构建工件的过程是否安全?
软件供应链安全仍是企业痛点 同时 Venafi 对来自全球不同企业的1000位 CIO 进行调研,其中82%的人表示他们的组织容易受到针对软件供应链的网络攻击。
云原生开发以及采用 DevOps 流程带来高效开发,使得软件供应链安全挑战变得更加复杂。与此同时,受到 SolarWinds 和 Kaseya 此类大型攻击事件的影响,攻击者正在加紧对软件构建和分发环境展开攻击。在过去的一年中,这些攻击的数量激增,复杂性更是空前,软件供应链攻击可能导致的严重业务中断、收入损失、数据盗窃和客户利益损害。因此,软件供应链安全开始受到 CEO 们及其董事会的高度关注,也成为人们关注的焦点。
主要调研结果:
- 87% 的 CIO 认为,软件工程师和开发人员在安全策略和控制方面让步和妥协,以便更快地将新产品和服务推向市场。
- 85%的 CIO 表示董事会或 CEO 特别强调要加强软件构建和分发环境的安全性。
- 84%的受访者表示,用于软件开发环境安全性的预算在过去一年中有所增加。
在这些类型的攻击中,破坏开发环境的方法已达数十种,包括利用 Log4j 等开源软件组件进行攻击。令人担忧的是开发人员目前专注与创新和开发速度,而不是安全性,而安全团队缺乏充沛的知识和资源来帮助开发团队处理和解决安全问题。
超过90%的软件应用程序使用开源组件,与开源软件相关的依赖关系和漏洞极其复杂。CI/CD 和 DevOps 流水线的结构能够提高开发人员的开发效率,但不意味着更加安全。在推动更快创新的过程中,开源的复杂性和开发速度限制了软件供应链安全控制的有效性。
CIO 们的安全意识觉醒 此外调查结果还显示,CIO 们已经开始意识到他们需要提高软件供应链的安全性:
- 68%的企业正在实施更多的安全控制
- 57%的企业正在更新其审核流程
- 56%的企业正在扩大对代码签名的使用,这是软件供应链的关键安全控制。
- 47%的企业正在研究他们的开源库的来源
推荐阅读
- 业界观点|LLVM之父Chris Lattner(为什么我们要重建AI基础设施软件)
- java|软件架构设计的核心(抽象与模型、“战略编程”)
- 思迈特软件完成C轮融资,让BI真正实现“普惠化”
- 投稿|倒闭、缺人、没订单,困局之下的潮玩供应链
- 测试|软件测试常见英文单词汇总
- APP用户卸载率高(汉达科技做推广要注意的点)
- 软件如何拥有音视频聊天功能(通过集成版即时通讯可快速实现)
- 软件测试基础培训哪里好 这个线上培训机构值得一试
- IT技术|2019 年软件开发人员必学的编程语言 Top 3
- 2019年软件开发人员必学的编程语言Top 3