实施软件供应链安全解决方案时的十大常见错误

实施软件供应链安全解决方案时的十大常见错误




开源代码在应用程序中变得越来越普遍，随着开源软件包数量不断增加，不安全的组件越来越多地进入世界各地的软件供应链。于是乎，保护软件供应链的需求逐步增长，但企业应注意到在实施解决方案来管理风险时所犯的常见错误。日前，Sonatype发布了《The Top 10 Mistakes when Implementing a Secure Software Supply Chain Solution》（以下简称“《报告》”）,为我们阐述了实施软件供应链安全解决方案时的十大常见错误。



01、不关注开发人员的工作效率
 
对于希望保护其软件供应链的企业而言，开发人员的工作效率是一项共同挑战。开发人员需更换不安全的组件，这不会影响应用程序的初始开发，但安全性需要预先成为开发人员工作流程的一部分，这可以最大限度地降低应用程序部署后的风险。
 
02、未与 DevOps工具等集成
 
与DevOps工具等集成应成为企业的一项重要要求，其确保了软件供应链安全可以完全集成到企业的开发环境中，而不仅仅是用作另一个独立的应用程序，这样可以有效保护软件供应链安全。
 
03、不关注数据准确性和低误报率
 
低误报率对于提高开发人员的工作效率和增强对安全团队的信任至关重要。安全误报已经成为最大痛点之一，因为其主要任务是监控安全事件并及时调查和响应，如果他们被成百上千的虚假警报淹没，无疑会分散其对真正威胁做出有效响应的注意力。
 
04、未掌握许可证信息
 
许可证信息也可能不准确或不合规。企业团队需要及时了解每个组件的任何版本发布、补丁和许可证问题。
 
05、不阻挡不需要的组件
 
不安全的开源组件应该被阻止在软件供应链之外。这包括漏洞、盗版和不兼容的许可证等问题。MIB集团的高级企业架构师表示其团队能够定义他们愿意承担的风险级别，以阻止不需要的开源组件进入其开发生命周期。
 
06、不跨“孤岛”进行规划
 
在实施软件供应链安全解决方案时，一个常见的错误是没有跨企业内的“孤岛”进行规划。团队需要确保每个人（包括安全、开发和 DevOps 团队）都了解开源安全和许可证管理所需的新流程和措施。
 
07、不关注整个 SLDC 自定义策略的实施
 
另一个常见错误与跨各种应用程序类型实施不同类型的自定义策略有关。团队需要决定是否要对具有更宽松许可证的组件实施更严格的标准，反之亦然。软件企业在软件开发生命周期 (SDLC) 中集成安全性也是保护组织免受数据泄露和其他网络攻击的关键。
 
08、在开发运营和 AppSec 团队中没有战略和目标
 
企业需要意识到不实施特定软件供应链战略的潜在影响，这包括解决软件开发团队，安全团队和其他利益相关者的安全问题。企业也应该清楚，没有实施软件供应链安全解决方案的目标可能会导致成本随着时间的推移而增加。
 
09、未提高安全应用程序的上市速度
 
安全软件供应链的改进使团队能够更快地生成安全应用程序，这可以加快新开发项目和服务的上市时间。除了安全优势之外，此改进还有助于企业避免因不安全的组件违规和可能引入应用程序的漏洞而造成的重大责任。
 
10、未尽快实施相应的软件供应链安全解决方案
 
企业尽早开始实施相应的软件供应链安全解决方案非常重要。企业面临来自商业开源组件的安全、许可和性能问题的重大风险如果不加以解决，这些问题可能会给开发团队带来更多的工作，同时也会增加成本。
 
长期专注于DevSecOps、软件供应链安全领域的老牌企业孝道科技给出了其解决方案：新一代数字化应用安全平台。平台包含了孝道科技的三大安全原子能力，分别是IAST（交互式应用安全测试系统）、开源组件安全检测与分析系统（SCA）以及RASP（应用的自适应免疫防护）。这三个能力之间有深度耦合以及智能协同，这意味着用户在做交互式应用安全测试时，就可以同时有能力去针对漏洞的可达性、可利用性进行测试，相当于将组件安全和IAST有机的结合起来。
 

最早投身软件供应链领域的安全企业悬镜安全也给出了他们的解决方案。悬镜安全凭借多年技术攻关首创专利级代码疫苗技术和下一代积极防御框架，并通过“全流程软件供应链安全赋能平台+敏捷安全工具链”的第三代DevSecOps智适应威胁管理体系及配套的敏捷安全闭环产品体系、软件供应链安全组件化服务，已帮助上千家用户构筑起适应自身业务弹性发展、面向敏捷业务交付并引领未来架构演进的内生积极防御体系。

、美国陆军将使用 Google Workspace 云计算服务


Google 官方博客宣布25万士兵将使用Google Workspace服务，称美国陆军是其 Google Public Sector的首个大客户。

2019 年美国国防部授予微软的 100 亿美元 JEDI（Joint Enterprise Defense Infrastructure）云计算合同引发了争议，最终导致合同被撤回。五角大楼随后采取了多元化云计算供应商的策略，不再限于单个云服务商。美国陆军此前已经采购了微软的 Office 365，但有 25 万士兵没有包含在 Office 365 授权方案中。现在 Google 官方博客宣布这 25 万士兵将使用它的 Google Workspace 服务，称美国陆军是其 Google Public Sector 的首个大客户。[阅读原文]

 

2、哈佛商业出版社土耳其分公司遭勒索攻击


外媒披露，哈佛商业出版社在土耳其的许可公司遭到了勒索攻击。9月16日，Cybernews研究人员发现了infomag.com.tr的一个开放的MongoDB实例，Infomag以土耳其语出版《彭博商业周刊》和《哈佛商业评论》。该数据库托管在土耳其，约为3.9GB，有超过1950万条记录，152000条与客户有关的信息，最早可以追溯到2017年。[阅读原文]

 

3、思科发布处理黑客入侵思科设备事件响应人员指南


思科发布了四个指南，旨在帮助事故响应人员调查他们怀疑已被黑客入侵或以其他方式受到攻击的思科设备。这些指南包括如何从被黑客装备中提取取证信息同时保持数据完整性完整的分步教程。

为思科的四个主要软件平台提供了四个指南：

Cisco ASA(自适应安全设备) – 在安全设备上运行的软件，结合了防火墙，防病毒，入侵防御和虚拟专用网络(VPN)功能。

Cisco IOS(互联网络操作系统) – 在大多数思科交换机和路由器上运行的专有操作系统。

Cisco IOS XE – 在Cisco交换机和路由器上运行的基于Linux的操作系统。

Cisco FTD(Firepower威胁防御) – 结合Cisco的ASA和Firepower技术的软件。部署在思科的防火墙硬件上。[阅读原文]

 

4、消息称英特尔因PC需求放缓计划裁员数千人


知情人士称，为了削减成本和应对放缓的PC处理器市场，芯片巨头英特尔公司计划大规模裁员，人数可能达到数千人。知情人士称，英特尔最早将于本月宣布裁员计划，该公司计划在10月27日发布第三季度财报时公布这一决定。包括英特尔销售和营销部门在内的一些部门将成为重灾区，裁员幅度可能高达20%左右。截至今年7月，英特尔拥有113700名员工。[阅读原文]

 

5、Deepfake成网络犯罪经济新高峰


Resecurity称Deepfake成了地下服务的新高峰，攻击者生成Deepfake，用于政治宣传，外国影响活动，虚假信息，诈骗和欺诈。

加拿大研究人员于 2014 年向公众介绍了生成对抗网络 (GAN)，它通常模仿人的面部、言语和独特的面部手势，它们已被在线社区称为 DeepFakes。

最近确定的地下服务之一——“RealDeepFake”，可通过 Telegram 群组轻松获得。只需支付少量费用，该服务就允许演员使用他们选择的角色创建一个 deepfake 实例，然后他们从选择的脚本中应用配音，他们还可以包括效果和文本。该服务利用 VoiceR 和 Lipsing 等技术来改变声音，使其听起来像选择的角色。

这些 DeepFake 的例子包括模仿 Elon Musk、Snoop Dog、Donald Trump 和 The Rock 等名人。诈骗者还使用 DeepFakes 在视频聊天或电话中可信地冒充 C-Suite 高管，向他们的同事和人员发出欺诈性电汇指令。

在美国联邦贸易委员会报告称自 2021 年初以来美国消费者因诈骗损失了超过 10 亿美元的加密货币的背景下，针对 Web3 社区的 deepfake BEC 和网络钓鱼欺诈行为加速兴起。专家们强调，deepfake 可能会被不良行为者使用名人的个人资料提供有关加密货币以及初始硬币产品 (ICO) 的误导性信息。

Resecurity 预计会看到更多混合攻击，这些攻击结合了令人信服的电子邮件和社交媒体爆炸、欺诈性薄荷糖以及专业渲染的知名 Web3 影响者的深度伪造，以欺骗日常消费者和加密专业人士。[阅读原文]

 

6、工信部等组织开展工业和信息化领域商用密码典型应用方案征集工作

近日，工业和信息化部、国家密码管理局近日联合印发通知，组织开展工业和信息化领域商用密码典型应用方案征集工作。

工信部表示，为全面落实《金融和重要领域密码应用与创新发展工作规划（2018-2022 年）》，深入推进工业和信息化领域商用密码应用，推动商用密码产业高质量发展，现组织开展工业和信息化领域典型应用方案征集工作。[阅读原文]

本文由安全客原创发布