软件供应链安全:寻找最薄弱的环节

在当今的数字时代,软件占据主导地位,成为全球组织业务和创新的支柱。它是差异化、项目效率、成本降低和竞争力背后的驱动力。软件决定了企业如何运营、管理与客户、员工和合作伙伴的关系,以及充分利用他们的数据。

挑战在于,当今的大多数软件都不是从头开始开发的,也不是将安全性放在首位。无论是内部开发(“第一方”)还是外部采购(“第三方”),它通常包含预构建代码块的复杂组合,其中许多代码块使用开源库,并且可能具有不同的年龄和质量。 

事实上,我们对 2023 年 TruRisk 研究报告中超过 13 万亿个匿名数据点的分析发现,79% 的已安装服务器使用开源组件。

这一现实给所谓的“软件供应链”带来了漏洞,为寻求利用薄弱环节访问关键数据和系统的攻击者提供了主要目标,特别是在当今的多云环境中。因此,研究公司 Enterprise Strategy Group (ESG) 最近的一项调查发现,惊人的 91% 的受访者表示在过去 12 个月内经历过软件供应链事件,这一点也就不足为奇了。

鉴于这些风险,保护软件供应链变得更加重要。那么,企业可以采取哪些措施来防御软件供应链攻击呢?”

内部软件管理:加强安全的重要一步

安全团队必须首先创建公司现有第一方软件的全面清单,包括其不同的组件和版本。 

令人惊讶的是,许多组织都在努力实现这种基本的洞察力。

为什么有差距?通常,由于依赖手动检查和运行脱节的基于脚本的测试来评估第一方软件。这种方法会导致评估不一致和遗漏漏洞,而传统工具无法检测嵌入式开源软件包则加剧了这种情况。

扩展您的安全方法以涵盖第一方软件应用程序至关重要。通过这样做,您可以使团队能够识别风险并确定风险的优先级,为全面实施稳健的安全措施奠定坚实的基础。

物料清单:通过透明度增强安全性

第三方软件提出了独特的挑战:如果没有所有权,就很难评估潜伏在其中的安全风险。软件物料清单 (SBOM) 是一种在网络安全领域越来越受欢迎的解决方案。

SBOM 通过列出应用程序中使用的所有组件来提供重要的见解,使团队能够识别漏洞并有效地确定优先级和管理风险。尽管 SBOM 仍处于新兴阶段,但它正在全球范围内获得监管支持。

例如,澳大利亚网络安全中心 (ACSC) 在 2023 年 3 月发布的《软件开发指南》中强调了 SBOM 的重要性,美国政府和欧盟也围绕 SBOM 制定了相关授权,强调了它们在增强网络弹性方面的重要性。

尽管如此,SBOM 经常在 CISO 的待办事项清单上因优先事项相互竞争而陷入困境。然而,它们的实施对于防范不断变化的网络威胁仍然至关重要,值得全球企业的关注和采取行动。

改进围绕安全的整体流程

与任何安全工作一样,保护软件供应链取决于传入的数据以及将信息转化为行动的速度。然而,现代软件的复杂性意味着很容易忽视潜在的漏洞,无论是您自己组织的软件还是其他公司或来源的产品。

增强安全性首先要获取全面的数据。然而,仅有数据还不够,它必须结合实际情况才能付诸行动。如果没有这种洞察力,在应用程序中确定更改的优先级或让供应商对更新负责就会变得令人畏惧。同样,管理潜在风险并在问题出现之前避免问题也成为一项艰巨的任务。

因此,风险和软件治理的整体方法至关重要。通过集成有关第一方和第三方应用程序风险的数据,您的团队可以更好地了解潜在威胁、识别必要的更改并促进有效的问题解决。

技术的转变

对不断变化的网络威胁保持警惕至关重要,特别是在关键安全技能短缺的情况下。

在这里,必须利用技术来自动收集数据、持续洞察软件基础设施并有效地确定风险的优先级,以便在潜在威胁升级之前主动领先。

然而,不同安全工具在分散环境中的激增可能会导致混乱,因为它们提供了关于组织风险的不同视角,阻碍了有效的风险管理和补救工作。

我们需要一个统一的平台来整合跨环境(包括多云)的数据,提供全面的可见性和上下文以高效解决安全问题,促进安全、IT 和开发团队之间的协作,简化风险缓解工作并保护关键应用程序。

特别是,现代人工智能驱动的工具现在可以毫不费力地扫描各种计算工作负载的开源软件,通过识别多云环境中的漏洞并促进快速解决问题来显着降低供应链风险。

同样,网络安全资产管理解决方案可以帮助解决管理未知或未托管资产的挑战,包括软件以及基于云的工作负载和物联网设备。通过利用此类工具嗅探网络流量,客户发现的不受管理和不受信任的资产平均增加了 34%,并将其与业务环境和风险评估无缝集成到漏洞管理计划中。

最后的想法

在供应链攻击不断增加的情况下,保护软件组件的重要性怎么强调都不为过,并且需要持续的警惕和奉献。企业必须通过采取全面的方法并培养安全意识文化来解决供应链安全方面的差距。 

通过优先考虑供应链安全并提高透明度和问责制,企业可以加强其软件运营并防范不断发展的数字环境中出现的新威胁。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/812653.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Java技术学习|SpringBoot面试篇

学习材料声明 黑马程序员黑马程序员SpringBoot3Vue3全套视频教程,springbootvue企业级全栈开发从基础、实战到面试一套通关 经过了基础知识后端开发前端开发,终于到了面试篇。 前置知识 1.ApplicationContextInitializer 首先,SpringBoot…

CentOS7 boa服务器的搭建和配置

环境是CentOS7,但方法不局限于此版系统,应该是通用的。 具体步骤如下: 1. 下载boa源码 下载地址: Boa Webserver 下载后,进入压缩包所在目录,进行解压: tar xzf boa-0.94.13.tar.gz 2. 安装需要的工具b…

【go-zero】go-zero 整合MQTT协议 | 实现对MQTT的操作

一、go-zero标准项目配置 完成下面三个步骤就可以直接在svcCtx中使用MQTT 我们使用官方的MQTT库:https://github.com/eclipse/paho.mqtt.golang 1、 设置 YAML 1.1、配置如下: 除了Broker、Port、User、Pass、Ca 其余都为可选项 Mqtt:Broker: mqtt3.xxx.com# Port: 28883…

算法刷题记录 Day43

算法刷题记录 Day43 Date: 2024.04.10 lc 188. 买卖股票的最佳时机IV // 拓展一下lc.123 的思路即可. class Solution { public:int maxProfit(int k, vector<int>& prices) {int n prices.size();//dp[i] 表示 第i天时完成不同笔交易下的各状态。[buy_1, sell_1…

Nginx转发请求错误

说明&#xff1a;记录一次使用Nginx转发请求的错误&#xff1b; 场景 公司内部有两台服务器都跑了后端项目&#xff0c;在使用Nginx做请求分发时&#xff0c;我发现其中有台服务器一直没有处理请求&#xff08;没打印相关的日志信息&#xff09;&#xff0c;于是我修改了下Ng…

2024年第十七届“认证杯”数学中国数学建模网络挑战赛A题思路

A题 保暖纤维的保暖能力 冬装最重要的作用是保暖,也就是阻挡温暖的人体与寒冷环境之间的热量传递。人们在不同款式的棉衣中会填充保暖材料,从古已有之的棉花,羽绒到近年来各种各样的人造纤维。不同的保暖纤维具有不同的保暖性能,比如人们以往的经验表明,高品质的羽绒具有…

僵尸进程和孤儿进程

目录 引言僵尸进程僵尸进程的状态僵尸进程周边知识 孤儿进程孤儿进程的状态 进程中的其他状态①.R---表示进程运行状态。②.S---表示进程的休眠状态。(进程什么都没做)③T 和 t 进程的运行、阻塞和挂起运行阻塞挂起状态&#xff1a; 引言 今天我们来将僵尸进程和孤儿进程以及其…

国家留学基金委(CSC)2024-2025年度中加学者交换项目开始申报

4月3日&#xff0c;国家留学基金委&#xff08;CSC&#xff09;发布了2024-2025年度中加学者交换项目遴选通知。根据通知精神&#xff0c;选派规模&#xff1a;100人月&#xff0c;留学及资助期限&#xff1a;4-12个月&#xff0c;网上报名截止日期至2024年6月30日。以下知识人…

Docker 学习笔记(六):挑战容器数据卷技术一文通,实战多个 MySQL 数据同步,能懂会用,初学必备

一、前言 记录时间 [2024-4-11] 系列文章简摘&#xff1a; Docker学习笔记&#xff08;二&#xff09;&#xff1a;在Linux中部署Docker&#xff08;Centos7下安装docker、环境配置&#xff0c;以及镜像简单使用&#xff09; Docker 学习笔记&#xff08;三&#xff09;&#x…

基于ssm同学录网站论文

摘要 本文介绍了同学录网站的开发全过程。通过分析企业对于同学录网站的需求&#xff0c;创建了一个计算机管理同学录网站的方案。文章介绍了同学录网站的系统分析部分&#xff0c;包括可行性分析等&#xff0c;系统设计部分主要介绍了系统功能设计和数据库设计。 本同学录网站…

造船业的重要工具之一(火工平台)——河北北重厂家

火工平台是造船业的重要工具之一&#xff0c;它是用于火焰切割和焊接的设备。在造船过程中&#xff0c;需要对金属材料进行切割和焊接&#xff0c;以构建船体结构。火工平台可以提供高温火焰&#xff0c;使得金属材料可以被切割或焊接。 火工平台通常由两个主要部分组成&#…

vue2响应式原理----发布订阅模式

很多人感觉vue2的响应式其实用到了观察者发布订阅。我们先来看一下简单的发布订阅的代码&#xff1a; // 调度中心 class Dep {static subscribes {}// 订阅所有需求static subscribe (key, demand) {// 对需求分类收集if (!Dep.subscribes[key]) Dep.subscribes[key] []Dep…

Windows安装MongoDB结合内网穿透轻松实现公网访问本地数据库

&#x1f49d;&#x1f49d;&#x1f49d;欢迎来到我的博客&#xff0c;很高兴能够在这里和您见面&#xff01;希望您在这里可以感受到一份轻松愉快的氛围&#xff0c;不仅可以获得有趣的内容和知识&#xff0c;也可以畅所欲言、分享您的想法和见解。 推荐:kwan 的首页,持续学…

Vue Router 4 与 Router 3 路由配置与区别

文章目录 路由安装路由配置vue-router 3.x版本写法配置路由使用路由 vue-router 4.x版本写法配置路由使用路由 Vue Router 4 与 Vue Router 3 区别 路由安装 Vue 2 (使用 Vue Router 3) &#xff1a;npm install vue-router3 Vue 3 (使用 Vue Router 4) &#xff1a;npm insta…

基于SpringBoot的“银行OA系统的设计与实现”的设计与实现(源码+数据库+文档+PPT)

基于SpringBoot的“银行OA系统的设计与实现”的设计与实现&#xff08;源码数据库文档PPT) 开发语言&#xff1a;Java 数据库&#xff1a;MySQL 技术&#xff1a;SpringBoot 工具&#xff1a;IDEA/Ecilpse、Navicat、Maven 系统展示 用户登录界面 管理员主界面 员工基本档…

武汉星起航顺应政策东风,打造跨境电商孵化新标杆

在国家政策的鼎力支持下&#xff0c;跨境电商行业迎来了蓬勃发展的黄金时期。武汉星起航电子商务有限公司作为行业的佼佼者&#xff0c;积极响应国家政策号召&#xff0c;凭借专业的运营团队和丰富的经验&#xff0c;成功打造了一站式的跨境电商亚马逊孵化平台&#xff0c;为合…

element-ui form表单自定义label的样式、内容

element-ui form表单自定义label的样式、内容 效果截图 代码 <el-form size"small" :inline"true" label-width"120px"><el-form-item prop"name"><div slot"label"><i style"color: red;"…

JavaWeb--JavaScript-事件绑定/BOM/DOM编程

目录 1. 事件绑定 1.1. 什么是事件 1.2. 常见事件 1.3. 事件的绑定 1.3.1. 属性绑定 1.3.2. DOM编程绑定 1.4. 事件的触发 1.4.1. 行为触发 1.4.2. DOM编程触发 2. BOM 编程 2.1. 什么是 BOM 2.2. window对象的常见属性(了解) 2.3. window对象的常见方法(了解) 2…

【中文医疗词嵌入模型】SMedBERT:结构化知识图谱 + 混合注意力机制 + 提及-邻居上下文建模

【中文医疗词嵌入模型】SMedBERT&#xff1a;结构化知识图谱 混合注意力机制 提及-邻居上下文建模 提出背景SMedBERT 具体到点的设计逻辑SMedBERT的背景SMedBERT的工作原理 SMedBERT 具体实现细节3.1 符号和模型3.2 Top-K Entity Sorting3.3 提及-邻居混合注意力3.4 提及-邻居…

Android - 安卓概述

什么是安卓? Android 是一种基于 Linux 的开源操作系统&#xff0c;适用于智能手机和平板电脑等移动设备。 Android 是由 Google 和其他公司领导的 Open Handset Alliance 开发的。 Android 为移动设备的应用程序开发提供了统一的方法&#xff0c;这意味着开发人员只需为 And…