根据Sonatype发布的一份报告,仅在2023年就记录了 245K 个恶意应用程序包。这一数字是2022年统计数字的三倍,是2019年以来历年数字总和的两倍。相关报道还显示,去年这些事件给企业造成的损失高达458亿美元,预计到2026年,全球经济影响将达到800亿美元。可见,威胁行为者越来越多地利用软件供应链的漏洞来渗透企业网络,由此,软件开发安全,乃至整个软件供应链安全问题越来越受到企业的重视。那么应该如何降低软件供应链风险,确保软件供应链安全呢?Privacy-PC的 David Balaban提供了最大限度降低软件供应链风险的10种方法,以下是相关内容。
1、安全编码实践
将安全纳入从开始到部署的软件开发生命周期 (SDLC)。使用静态和动态代码分析工具,对开发人员进行威胁建模方面的培训,并执行漏洞评估,以便在软件工程������工作流程的早期识别和修复薄弱环����节。
2、依赖性管理
维护组织内部使用的软件依赖关系和库的清单。定期更新和修补这些实体,以解决已知的安全漏洞������。自动依������赖性扫描工具可简化这一流程。
3、供应商管理
优先考虑具有良好安全记录的第三方承包商。制定严格的供应商评估标准,包括安全标准、合规要求和事件响应能力。将供应商的 DNS 历史记录与与软件供应链攻击和漏洞相关的已知破坏指标 (IOC) 进行交叉比对。此外,还要定期评估和审核供应商,以确保他们始终遵守既定的安����全规范。
4、软件物料清单 (SBOM)
创建并维护全面的 SBOM,详细说明代码库中使用的所有组件,包括�������开源库、框架和模块及其版本和补丁状态。该清单提供了识别和修复软件供应链中的漏洞所需的���可见性。
5、防篡改分发渠道
应用程序在传输过程中特别容易被滥用。使用端到端加密、数字证书和安全协议来保护软件包,使其在到达目标受众的途中不会被拦截或发生未经授权的篡改。
6、网络分割
隔离开发、构建和部署环境,以限制某一区域出现漏洞的潜在影响。防火墙、虚拟局域网(VLAN)和软件定义网络(SDN)工具可促进网络分段,并遏制威胁行为者在���������入侵情况下的横向移动。
7、多因素身份验证
这种技术使攻击者更难获得对开发人员工作站的未经授权访问。只有������在整个软件供应链(包括远程员工的设备和供应商系统)都使用多因素身份验证时,多因素身份验证才能发挥作用。
8、细粒度访问控制
根据用户角色和职责指定权限和特权。建议对访问生产环境或部署软件更新等高风险操作执行额外的身份验证因素。
9、威胁情报
订阅威胁情报信息,主动应对新出现的风险。这一策略可与�������漏洞管理计划配合使用,根据严����重程度确定修复工作的优先顺序。
10、事件响应规划
制定一个路线图,概述如���何识别、控制和恢复软件供应链攻击。该计划应包括通知利益相关者和受影����响用户的沟通协议。
服务������器、桌面和移动应用程序作为当今任何组织基础设施的粘合剂,除了这10种方法,提升开发人员安全意识也很重要。这将使软件供应链����安全成为一项协作工作,每个团队成员都将发挥重要作用。
来源 | scmagazine
编辑 | 开元旗牌信息
参考链接://www.scmagazine.com/perspective/ten-ways-to-minimize-software-supply������-chain-risks
我的评论
还未登录?