数字化转型的持续深入,越来越多的企业因为业务需要而或多或少的涉足软件开发,因此,软件开发环境也成为了攻击者热衷的目标之一。其缘由很简单,攻击者也很清楚,成功的供应链攻击效率极高,而且所能带来的利润也更高。
也许得益于近两年来频繁出现的供应链攻击事件,尤其是爆出了多个大事件,让企业的管理层意识到相关的安全建设是必需的,而且需要立刻采取行动,否则就会成为长长的受害者名单列表中的一个。调查显示,有85%的CIO已经得到企业更高管理层的明确指示——采取行动去改善软件开发环境的安全性。为了应对这些潜在的安全漏洞,84%的受访者表示,他们的组织在去年投入了更大一部分预算来保护他们的软件供应链。
调查数据可以看出,CIO们的方法已经开始发生变化,比如实施了更多的安全措施(68%),额外使用了代码签名(56%)以及查看了他们的开源库的来源(47%)。然而,一些企业和它们的CIO们并不太愿意改变他们的安全做法,因为很多看起来更好的做法将需要从根本上改变结构。
Venafi认为,CIO们意识到他们需要提高软件供应链的安全性,但要准确地确定风险在哪里,哪些改进能最大程度地提高安全性,以及随着时间的推移这些变化如何降低风险,这是极其困难的。就当前而言,我们不能用现有的方法解决这个问题。相反,我们需要以不同的方式思考我们正在构建和使用的代码的身份和完整性,要以机器般的速度在整个开发过程中去保护。
由于Venafi本身是服务于密码和证书领域的保护,因此在他们看来,代码签名是阻止供应链攻击的最佳选择之一,这一说法并没有错,因为各个组织在此前这方面做的并不够好,如果通过对现有易受攻击的系统使用代码签名,企业可以在未签名恶意软件对其供应链和客户基础造成严重破坏之前捕捉到它。71%的受访者表示他们在代码签名相关的预算和投入上正在增加,56%的受访者表示,他们的企业已经在努力使用更多的代码签名来抵消额外网络攻击的风险。
考虑到供应链攻击的复杂性,单靠代码签名是不可能解决所有问题的,比如在开源层面,还应该考虑应用SBOM(软件物料清单)和SCA(软件成分分析)工具以保护企业的软件供应链安全,而在开发层面,则还应该考虑应用DevSecOps,以安全左移的方式将安全融入到整个软件开发过程之中。
相关阅读:
悬镜安全子芽:用开源的方式做开源治理 守护中国软件供应链安全
悬镜安全董毅:如何通过三个步骤做好软件供应链的风险治理
海云安SCA平台迎来新升级 助力企业全面透视开源组件安全风险
酷德啄木鸟发布“析微”SCA软件成分分析系统