實施軟件供應鏈安全解決方案時的十大常見錯誤

實施軟件供應鏈安全解決方案時的十大常見錯誤




開源代碼在應用程序中變得越來越普遍，隨著開源軟件包數量不斷增加，不安全的組件越來越多地進入世界各地的軟件供應鏈。于是乎，保護軟件供應鏈的需求逐步增長，但企業應注意到在實施解決方案來管理風險時所犯的常見錯誤。日前，Sonatype發布了《The Top 10 Mistakes when Implementing a Secure Software Supply Chain Solution》（以下簡稱“《報告》”）,為我們闡述了實施軟件供應鏈安全解決方案時的十大常見錯誤。



01、不關注開發人員的工作效率
 
對于希望保護其軟件供應鏈的企業而言，開發人員的工作效率是一項共同挑戰。開發人員需更換不安全的組件，這不會影響應用程序的初始開發，但安全性需要預先成為開發人員工作流程的一部分，這可以最大限度地降低應用程序部署后的風險。
 
02、未與 DevOps工具等集成
 
與DevOps工具等集成應成為企業的一項重要要求，其確保了軟件供應鏈安全可以完全集成到企業的開發環境中，而不僅僅是用作另一個獨立的應用程序，這樣可以有效保護軟件供應鏈安全。
 
03、不關注數據準確性和低誤報率
 
低誤報率對于提高開發人員的工作效率和增強對安全團隊的信任至關重要。安全誤報已經成為最大痛點之一，因為其主要任務是監控安全事件并及時調查和響應，如果他們被成百上千的虛假警報淹沒，無疑會分散其對真正威脅做出有效響應的注意力。
 
04、未掌握許可證信息
 
許可證信息也可能不準確或不合規。企業團隊需要及時了解每個組件的任何版本發布、補丁和許可證問題。
 
05、不阻擋不需要的組件
 
不安全的開源組件應該被阻止在軟件供應鏈之外。這包括漏洞、盜版和不兼容的許可證等問題。MIB集團的高級企業架構師表示其團隊能夠定義他們愿意承擔的風險級別，以阻止不需要的開源組件進入其開發生命周期。
 
06、不跨“孤島”進行規劃
 
在實施軟件供應鏈安全解決方案時，一個常見的錯誤是沒有跨企業內的“孤島”進行規劃。團隊需要確保每個人（包括安全、開發和 DevOps 團隊）都了解開源安全和許可證管理所需的新流程和措施。
 
07、不關注整個 SLDC 自定義策略的實施
 
另一個常見錯誤與跨各種應用程序類型實施不同類型的自定義策略有關。團隊需要決定是否要對具有更寬松許可證的組件實施更嚴格的標準，反之亦然。軟件企業在軟件開發生命周期 (SDLC) 中集成安全性也是保護組織免受數據泄露和其他網絡攻擊的關鍵。
 
08、在開發運營和 AppSec 團隊中沒有戰略和目標
 
企業需要意識到不實施特定軟件供應鏈戰略的潛在影響，這包括解決軟件開發團隊，安全團隊和其他利益相關者的安全問題。企業也應該清楚，沒有實施軟件供應鏈安全解決方案的目標可能會導致成本隨著時間的推移而增加。
 
09、未提高安全應用程序的上市速度
 
安全軟件供應鏈的改進使團隊能夠更快地生成安全應用程序，這可以加快新開發項目和服務的上市時間。除了安全優勢之外，此改進還有助于企業避免因不安全的組件違規和可能引入應用程序的漏洞而造成的重大責任。
 
10、未盡快實施相應的軟件供應鏈安全解決方案
 
企業盡早開始實施相應的軟件供應鏈安全解決方案非常重要。企業面臨來自商業開源組件的安全、許可和性能問題的重大風險如果不加以解決，這些問題可能會給開發團隊帶來更多的工作，同時也會增加成本。
 
長期專注于DevSecOps、軟件供應鏈安全領域的老牌企業孝道科技給出了其解決方案：新一代數字化應用安全平臺。平臺包含了孝道科技的三大安全原子能力，分別是IAST（交互式應用安全測試系統）、開源組件安全檢測與分析系統（SCA）以及RASP（應用的自適應免疫防護）。這三個能力之間有深度耦合以及智能協同，這意味著用戶在做交互式應用安全測試時，就可以同時有能力去針對漏洞的可達性、可利用性進行測試，相當于將組件安全和IAST有機的結合起來。
 

最早投身軟件供應鏈領域的安全企業懸鏡安全也給出了他們的解決方案。懸鏡安全憑借多年技術攻關首創專利級代碼疫苗技術和下一代積極防御框架，并通過“全流程軟件供應鏈安全賦能平臺+敏捷安全工具鏈”的第三代DevSecOps智適應威脅管理體系及配套的敏捷安全閉環產品體系、軟件供應鏈安全組件化服務，已幫助上千家用戶構筑起適應自身業務彈性發展、面向敏捷業務交付并引領未來架構演進的內生積極防御體系。

、美國陸軍將使用 Google Workspace 云計算服務


Google 官方博客宣布25萬士兵將使用Google Workspace服務，稱美國陸軍是其 Google Public Sector的首個大客戶。

2019 年美國國防部授予微軟的 100 億美元 JEDI（Joint Enterprise Defense Infrastructure）云計算合同引發了爭議，最終導致合同被撤回。五角大樓隨后采取了多元化云計算供應商的策略，不再限于單個云服務商。美國陸軍此前已經采購了微軟的 Office 365，但有 25 萬士兵沒有包含在 Office 365 授權方案中?，F在 Google 官方博客宣布這 25 萬士兵將使用它的 Google Workspace 服務，稱美國陸軍是其 Google Public Sector 的首個大客戶。[閱讀原文]

 

2、哈佛商業出版社土耳其分公司遭勒索攻擊


外媒披露，哈佛商業出版社在土耳其的許可公司遭到了勒索攻擊。9月16日，Cybernews研究人員發現了infomag.com.tr的一個開放的MongoDB實例，Infomag以土耳其語出版《彭博商業周刊》和《哈佛商業評論》。該數據庫托管在土耳其，約為3.9GB，有超過1950萬條記錄，152000條與客戶有關的信息，最早可以追溯到2017年。[閱讀原文]

 

3、思科發布處理黑客入侵思科設備事件響應人員指南


思科發布了四個指南，旨在幫助事故響應人員調查他們懷疑已被黑客入侵或以其他方式受到攻擊的思科設備。這些指南包括如何從被黑客裝備中提取取證信息同時保持數據完整性完整的分步教程。

為思科的四個主要軟件平臺提供了四個指南：

Cisco ASA(自適應安全設備) – 在安全設備上運行的軟件，結合了防火墻，防病毒，入侵防御和虛擬專用網絡(VPN)功能。

Cisco IOS(互聯網絡操作系統) – 在大多數思科交換機和路由器上運行的專有操作系統。

Cisco IOS XE – 在Cisco交換機和路由器上運行的基于Linux的操作系統。

Cisco FTD(Firepower威脅防御) – 結合Cisco的ASA和Firepower技術的軟件。部署在思科的防火墻硬件上。[閱讀原文]

 

4、消息稱英特爾因PC需求放緩計劃裁員數千人


知情人士稱，為了削減成本和應對放緩的PC處理器市場，芯片巨頭英特爾公司計劃大規模裁員，人數可能達到數千人。知情人士稱，英特爾最早將于本月宣布裁員計劃，該公司計劃在10月27日發布第三季度財報時公布這一決定。包括英特爾銷售和營銷部門在內的一些部門將成為重災區，裁員幅度可能高達20%左右。截至今年7月，英特爾擁有113700名員工。[閱讀原文]

 

5、Deepfake成網絡犯罪經濟新高峰


Resecurity稱Deepfake成了地下服務的新高峰，攻擊者生成Deepfake，用于政治宣傳，外國影響活動，虛假信息，詐騙和欺詐。

加拿大研究人員于 2014 年向公眾介紹了生成對抗網絡 (GAN)，它通常模仿人的面部、言語和獨特的面部手勢，它們已被在線社區稱為 DeepFakes。

最近確定的地下服務之一——“RealDeepFake”，可通過 Telegram 群組輕松獲得。只需支付少量費用，該服務就允許演員使用他們選擇的角色創建一個 deepfake 實例，然后他們從選擇的腳本中應用配音，他們還可以包括效果和文本。該服務利用 VoiceR 和 Lipsing 等技術來改變聲音，使其聽起來像選擇的角色。

這些 DeepFake 的例子包括模仿 Elon Musk、Snoop Dog、Donald Trump 和 The Rock 等名人。詐騙者還使用 DeepFakes 在視頻聊天或電話中可信地冒充 C-Suite 高管，向他們的同事和人員發出欺詐性電匯指令。

在美國聯邦貿易委員會報告稱自 2021 年初以來美國消費者因詐騙損失了超過 10 億美元的加密貨幣的背景下，針對 Web3 社區的 deepfake BEC 和網絡釣魚欺詐行為加速興起。專家們強調，deepfake 可能會被不良行為者使用名人的個人資料提供有關加密貨幣以及初始硬幣產品 (ICO) 的誤導性信息。

Resecurity 預計會看到更多混合攻擊，這些攻擊結合了令人信服的電子郵件和社交媒體爆炸、欺詐性薄荷糖以及專業渲染的知名 Web3 影響者的深度偽造，以欺騙日常消費者和加密專業人士。[閱讀原文]

 

6、工信部等組織開展工業和信息化領域商用密碼典型應用方案征集工作

近日，工業和信息化部、國家密碼管理局近日聯合印發通知，組織開展工業和信息化領域商用密碼典型應用方案征集工作。

工信部表示，為全面落實《金融和重要領域密碼應用與創新發展工作規劃（2018-2022 年）》，深入推進工業和信息化領域商用密碼應用，推動商用密碼產業高質量發展，現組織開展工業和信息化領域典型應用方案征集工作。[閱讀原文]

本文由安全客原創發布