实施软件供应链安全解决方案时的十大常见错误

首页 / 业界 / 资讯 /  正文
作者:十六
来源:安全419
发布于:2022-10-10
开源代码在应用程序中变得越来越普遍,随着开源软件包数量不断增加,不安全的组件越来越多地进入世界各地的软件供应链。于是乎,保护软件供应链的需求逐步增长,但企业应注意到在实施解决方案来管理风险时所犯的常见错误。日前,Sonatype发布了《The Top 10 Mistakes when Implementing a Secure Software Supply Chain Solution》(以下简称“《报告》”),为我们阐述了实施软件供应链安全解决方案时的十大常见错误。



01、不关注开发人员的工作效率
 
对于希望保护其软件供应链的企业而言,开发人员的工作效率是一项共同挑战。开发人员需更换不安全的组件,这不会影响应用程序的初始开发,但安全性需要预先成为开发人员工作流程的一部分,这可以最大限度地降低应用程序部署后的风险。
 
02、未与 DevOps工具等集成
 
与DevOps工具等集成应成为企业的一项重要要求,其确保了软件供应链安全可以完全集成到企业的开发环境中,而不仅仅是用作另一个独立的应用程序,这样可以有效保护软件供应链安全。
 
03、不关注数据准确性和低误报率
 
低误报率对于提高开发人员的工作效率和增强对安全团队的信任至关重要。安全误报已经成为最大痛点之一,因为其主要任务是监控安全事件并及时调查和响应,如果他们被成百上千的虚假警报淹没,无疑会分散其对真正威胁做出有效响应的注意力。
 
04、掌握许可证信息
 
许可证信息也可能不准确或不合规。企业团队需要及时了解每个组件的任何版本发布、补丁和许可证问题。
 
05、不阻挡不需要的组件
 
不安全的开源组件应该被阻止在软件供应链之外。这包括漏洞、盗版和不兼容的许可证等问题。MIB集团的高级企业架构师表示其团队能够定义他们愿意承担的风险级别,以阻止不需要的开源组件进入其开发生命周期。
 
06、不跨孤岛进行规划
 
在实施软件供应链安全解决方案时,一个常见的错误是没有跨企业内的“孤岛”进行规划。团队需要确保每个人(包括安全、开发和 DevOps 团队)都了解开源安全和许可证管理所需的新流程和措施。
 
07、不关注整个 SLDC 自定义策略实施
 
另一个常见错误与跨各种应用程序类型实施不同类型的自定义策略有关。团队需要决定是否要对具有更宽松许可证的组件实施更严格的标准,反之亦然。软件企业在软件开发生命周期 (SDLC) 中集成安全性也是保护组织免受数据泄露和其他网络攻击的关键。
 
08、在开发运营和 AppSec 团队中没有战略和目标
 
企业需要意识到不实施特定软件供应链战略的潜在影响,这包括解决软件开发团队,安全团队和其他利益相关者的安全问题。企业也应该清楚,没有实施软件供应链安全解决方案的目标可能会导致成本随着时间的推移而增加。
 
09、未提高安全应用程序的上市速度
 
安全软件供应链的改进使团队能够更快地生成安全应用程序,这可以加快新开发项目和服务的上市时间。除了安全优势之外,此改进还有助于企业避免因不安全的组件违规和可能引入应用程序的漏洞而造成的重大责任。
 
10、未尽快实施相应的软件供应链安全解决方案
 
企业尽早开始实施相应的软件供应链安全解决方案非常重要。企业面临来自商业开源组件的安全、许可和性能问题的重大风险如果不加以解决,这些问题可能会给开发团队带来更多的工作,同时也会增加成本。
 
长期专注于DevSecOps、软件供应链安全领域的老牌企业孝道科技给出了其解决方案:新一代数字化应用安全平台。平台包含了孝道科技的三大安全原子能力,分别是IAST(交互式应用安全测试系统)、开源组件安全检测与分析系统(SCA)以及RASP(应用的自适应免疫防护)。这三个能力之间有深度耦合以及智能协同,这意味着用户在做交互式应用安全测试时,就可以同时有能力去针对漏洞的可达性、可利用性进行测试,相当于将组件安全和IAST有机的结合起来。
 
最早投身软件供应链领域的安全企业悬镜安全也给出了他们的解决方案。悬镜安全凭借多年技术攻关首创专利级代码疫苗技术和下一代积极防御框架,并通过“全流程软件供应链安全赋能平台+敏捷安全工具链”的第三代DevSecOps智适应威胁管理体系及配套的敏捷安全闭环产品体系、软件供应链安全组件化服务,已帮助上千家用户构筑起适应自身业务弹性发展、面向敏捷业务交付并引领未来架构演进的内生积极防御体系。