軟件供應鏈攻擊正成為一種常見的非法獲取商業信息的犯罪形式。有研究數據顯示,現代軟件系統的底層代碼中超過90%都是開源的,這意味著幾乎所有軟件的研發與應用都存在著一條供應鏈,包括各種組件的引用,以及在軟件設計、開發、測試、部署和維護期間所涉及的各種環節,安全漏洞隨時可能出現。
由于在企業軟件供應鏈中可能導致安全風險的因素非常復雜,因此保障軟件供應鏈安全并非純粹的技術性問題,而是要綜合考慮人、流程和知識的問題。企業組織在解決軟件供應鏈安全問題時,需要基于軟件應用的全生命周期來考慮,監控和保護其中的每個環節。
近日,《福布斯》雜志技術委員會的多位安全專家就現代企業組織如何構建安全軟件供應鏈進行了研討,并給出了12條加強軟件應用安全的實用建議。
建議1制定供應鏈安全計劃,由CISO負責
保障軟件供應鏈安全不只是某個部門的事,而是需要成為企業整體發展戰略計劃的一部分,并讓左右人都能理解這樣做的原因。為了確保軟件供應鏈順暢平穩運行,組織首先要做的一件事就是制定一項嚴密的安全防護計劃,并聘請專職的首席安全官(CISO)來制定和落地這項計劃,而不是只是將計劃發布出來而已。
建議2確保供應鏈的可觀察性
很多企業長期以來只關注自身網絡安全的防護,而忽略了供應商產品的安全狀況,導致未經過嚴格安全認證與審核的訪問進入企業,帶來巨大風險。確保供應鏈的可觀察性必不可少,軟件供應鏈天然具有復雜性,只有通過持續的監控分析,企業才能保證它們的安全進化和發展,并確保長期可用性和安全性。
建議3部署軟件供應鏈管理系統
大多數企業對開發人員在研發時的開源代碼引用和軟件依賴關系缺乏足夠了解。如果不能有效清點軟件中的所有第三方組件,當嚴重的零日漏洞突然發生時,組織將無法了解自己是否會受到影響,哪些應用會受到影響,以及影響的嚴重性如何。如果組織部署了軟件供應鏈管理系統,就能夠準確判斷威脅態勢,并立即開始補救,避免安全事件發生。
建議4基于SBOM制定分類計劃
軟件材料清單(SBOM)最近備受行業關注,但應用SBOM只是基礎,目的是可以了解軟件產品的各個組成部分。更關鍵的是,企業應該基于已發現漏洞情報信息進行威脅分析,對識別出的各種威脅進行分類,并以此創建威脅處置流程。通過不斷重復上述工作,企業還可以不斷完善威脅處置流程。
建議5運用零信任策略
企業組織在構建安全軟件供應鏈時,積極運用零信任策略是一項非常實用的保障措施。在供應鏈合作中,通過遵循零信任原則,企業可以更好審核供應鏈服務的安全性,所有對于系統的訪問都會建立在身份、端點、服務等一系列角色基礎上,必須得到安全策略一致的驗證和授權之后才能進行。
建議6將安全檢查融入開發流程
企業應重視開發安全運營(DevSecOps)。一種方法是將安全檢查工作列為開發人員必須完成的任務之一。無論是軟件設計過程中的威脅建模、錯誤修復,還是封堵代碼中的安全漏洞,應用安全問題都需要被開發人員優先考慮,并成為其日常開發工作的一部分。如果這部分工作要求沒有完成,就意味著其整個開發工作不能結項。
建議7及時進行補丁更新
及時進行安全補丁和軟件版本更新是構建安全軟件供應鏈的重要步驟。為了保證第三方軟件及開發者值得信賴,在部署安全補丁和版本升級之前,還需要有適當的措施來對其進行安全審查和監控。
建議8貫徹安全編程和測試實踐
企業在構建安全軟件供應鏈時應該貫徹安全編程和測試實踐,因為它有助于在開發過程的早期階段識別和緩解安全漏洞,保護整個軟件系統免受攻擊。這一點很重要,因為軟件供應鏈往往涉及多個第三方合作伙伴,所有開發團隊及人員均應該保持一直的安全編程要求。
建議9定期進行離線代碼備份
科學的備份機制是防止數據竊取和勒索攻擊的最后一條防線。如果企業大量應用了云計算技術,定期進行離線代碼備份工作將非常重要。企業應該定期審查軟件服務提供商,尤其是提供關鍵應用組件、銷售系統、財務系統的提供商。一旦發現存在風險,就應該及時手動執行離線的數據備份或數據恢復。
建議10制作一份檢查清單
企業了解軟件供應鏈是否安全的最好方法就是制作一份檢查清單,并以此進行安全狀態檢查。檢查清單可以讓每個人都成為安全把關員,從而打造一條安全的軟件供應鏈。不同類型企業對供應鏈安全檢查的要求會有差異,但清單通常應包括以下8個檢查點:訪問控制、安全存儲、加密、安全傳輸、漏洞管理、定期更新、跟蹤系統和糾正措施。
建議11應用安全協作平臺
軟件系統的安全性取決于其生命周期中的最薄弱環節。隨著現代軟件供應鏈的全球化趨勢發展,跨不同平臺和多個數據集進行協作開發的需求急劇加大。雖然許多企業組織已采用了基于云的協作開發平臺,但目前軟件供應鏈上協同溝通的最常見方式還通過郵件、電子表格和社交工具。企業應該購置統一的安全開發協作平臺來降低隱患。
建議12加強工程師的安全教育
保障數字化業務的安全開展已經得到業界普遍認同,企業組織也正在投入很多資源打造安全的軟件供應鏈,并取得了一定的進展,但人依然是整個軟件供應鏈中最薄弱的因素。因此,企業需要加強內、外部軟件工程師的安全意識教育,幫助他們提高對新工具、新技術和新威脅的認識。
