14 条策略助力企业构建更安全的软件供应链

每个软件都存在供应链,然而现代软件大部分代码都是开源的,这意味着任何人都可以访问和编辑。但是软件平台的安全取决于其最薄弱的环节,安全漏洞可能随时出现,因此技术领导者必须建立监控和保护供应链中每个环节方案和动作。福布斯技术委员会给出应对软件供应链安全的14条明智的策略,为开发者、企业的安全建设带来思考和建议。

承包商在建造建筑物的时候,会按照计划和流程去采购使用预制和预切材料,同样如此,软件程序建立在开发实践和先前编写的代码基础上,其中一些并不是创建软件公司的唯一知识产权。事实上,现代软件大部分代码都是开源的,这意味着任何人都可以访问和编辑。

因此所有软件都有一个供应链,其所有组成部分还包括在其构思、创建、部署和维护过程中发生的一切。安全漏洞随时可能出现,因此技术领导者必须建立监控和保护软件供应链中每个环节的方法。福布斯技术委员会的 14 名成员讨论了建立安全软件供应链的明智策略,以及为何软件供应链安全如此重要。

14 条策略助力企业构建更安全的软件供应链

照片由会员个人提供,图中成员从左至右排列。

1. 在整个价值流中强调安全

安全不能只属于企业的一部分或留到最后再做。安全需要成为战略计划的一部分,并贯穿整个价值流。安全不是在生产之前就可以扫描的东西。告诉您的团队为什么安全需要成为整个流程的一部分,而不仅仅是给他们发布标准。在“为什么”中包括他们。- Laureen Knudsen, Broadcom

2.确保对供应链的可见性

可观察性是必不可少的。如果您不能“看到”您的供应链——无论是通过实际的视觉表示还是数字面包屑路径——您将无法分析它,无法随着时间的推移监控它的健康状况。供应链本来就很复杂,但必须找到分析这些链条的方法,以支持它们的演变和发展,并确保它们的长期生存能力和安全性。- Lewis Wynne-Jones, ThinkData Works

3.建立软件供应链存储和管理系统

大多数组织对开发人员所做的选择及其软件中的依赖项的可见性很差。如果没有所有组件的预先存货清单,当下一个零日事件发生时,他们只能争先恐后地查明它们是否受到影响、受影响的地点以及影响的严重程度。那些拥有库存和管理供应链系统的人能够立即开始补救,从而避免危机。- Brian Fox,Sonatype, Inc.

4. 应用零信任策略

在保护软件供应链时,应用零信任策略是一种有用的缓解措施。这一战略很重要,因为它可以通过公司与其供应商进行的深度合规和信任来评估和检查。- Yair Kuznitsov, anecdotes

5. 根据供应商的 SBOM 制定不同应对计划

软件物料清单或 SBOM 最近受到广泛关注,但 SBOM 只是该过程的第一步。向软件供应商索取 SBOM 清单,可以更了解供应商产品的组成有哪些组件。下一步重要的是围绕已公布的漏洞分析和一套应对计划,并构建流程。- Vincent Berk, Quantum Xchange

6.及时跟进补丁和更新

定期使用安全补丁和更新软件是建立安全软件供应链的一个重要步骤。为确保该程序及其创建者值得信赖,除了部署安全修复程序和升级之外,对他们进行适当的审查和监控也至关重要。- Neelima Mangal,Nutcache

7. 利用 MFA 并任命首席安全官

确保软件供应链流畅的首要任务是制定严密的安全计划。一次违规可能会破坏数月的辛勤工作,并导致您的员工和客户感到沮丧。我建议使用多因素身份验证,并聘请首席安全官来维护和制定您的网络安全策略。- Thomas Griffin, OptinMonster

8. 投资于工程师的教育和发展

十年来,安全一直是一个热门话题。目前已经开发了多种工具、框架和方法来促进安全的软件供应链。然而,尽管取得了进步,但仍然是链条中最薄弱的部分。因此,投资于工程师的教育和发展对于帮助他们提高对新工具、技术和威胁的认识至关重要。- Roman Reznikov , Intellias

9.定期进行离线备份

确保你有备份!云计算是伟大的,至少目前来说。每年审查您的软件服务提供商——尤其是那些提供关键应用程序、销售点或创收系统的提供商。如果存在风险,请确保实施一种方法来定期进行手动离线备份。- Rhonda Dibachi, HeyScottie.com

10. 让网络安全检查成为开发人员工作流的一部分

认真对待 DevSecOps。一种方法是将网络安全工作作为开发人员必须完成的任务之一。是否为设计期间的威胁建模;修复SAST、DAST、SCA工具显示的错误;或者修复通过bug赏金计划发现的漏洞,需要优先考虑网络安全问题,并将其作为工作的一部分。这意味着如果没有完成,那么工作就是不完整的。- Christine Bejerasco,WithSecure

11.实施安全编码和测试实践

实施安全编码和测试实践是确保软件供应链安全的重要步骤,因为它有助于在开发过程的早期识别和缓解安全漏洞,保护整个系统免受攻击。这很重要,因为软件供应链有多个合作伙伴和第三方组件非常复杂。- David Bitton, DoorLoop

12.建立检查清单

了解供应链安全是否有效的最佳方法是建立检查清单。该清单允许每个人成为“医生”,以确保建立安全的软件供应链。以下是我的八个检查点,包括:访问控制、安全存储、加密、安全传输、漏洞管理、定期更新、每日绩效跟踪系统审查和纠正措施。- Chaitra Vedullapalli, Women in Cloud

13.投资安全协作平台

软件平台的安全取决于其最薄弱的环节。随着供应链变得更加全球化,跨不同平台和多个数据集进行协作的需求呈指数级增长。虽然许多公司都采用了基于云的安全平台,但跨供应链的最常见沟通方式是通过电子邮件的方式发送电子表格,通过投资安全协作平台来消除这种需求是至关重要的。- Richard Lebovitz, LeanDNA

14. 审核、跟踪和审查进行中的软件组件

由于软件供应链是安全漏洞最新和最具影响的领域之一,因此确保您的软件构建过程的安全至关重要。最重要的事情是确保您知道正在构建和包含哪些组件的哪些版本,并进行审核、审查和跟踪以确保这些组件符合预期。- Michael Adler, N-able

(0)
上一篇 2024年4月30日 上午10:12
下一篇 2023年8月9日 下午6:57

相关推荐

  • 用社区和开发者工具驱动软件供应链安全治理

    本文整理自 OSCS 软件供应链安全技术论坛- 章华鹏老师开场致辞的分享内容。 章华鹏,十二年的企业安全建设、安全社区白帽子、开发者,先后在百度、贝壳负责过企业安全建设 ,也在乌云负责过安全产品,业余时间活跃于安全技术社区,帮助企业、开源项目、软件公司解决过数百个严重安全问题,现在负责墨菲安全和 OSCS 社区,专注于软件供应链安全方向。 软件供应链安全的概…

    2023年8月9日
    0
  • 企业开展开源安全治理必要性及可行性详细分析

    背景 开源软件安全威胁是近几年企业安全面临的主要威胁,也是企业应用安全方向讨论的热门话题,但是由于是新的需求新的方向,很多企业在观望,当前开展这项工作是否已经成熟,项目成功率如何? 当新鲜事物产生时,首先我们应该积极的态度去拥抱它,但是它是不是真的值得我们投入(包括当下工作和未来个人技术成长),就需要客观的分析其必要性,同时结合自身情况了解它的可行性。 开源…

    2024年3月18日
    0
  • 技术驱动——打造最实用的软件供应链安全工具

    本文整理自 OSCS 软件供应链安全技术论坛- 欧阳强斌老师的分享《技术驱动——打造最实用的软件供应链安全工具》完整内容。 欧阳强斌 墨菲安全联合创始人、墨菲安全实验室负责人, 大家好,我是欧阳强斌,来自墨菲安全专注在软件供应链安全领域的一家创新公司。很高兴能够在这里分享我们对软件供应链安全的理解,以及我们以技术驱动的产品实践。 软件供应链安全并不新鲜 19…

    2023年8月9日
    0
  • Log4j2漏洞背后是全球软件供应链风险面临失控

    前言 Log4j2作为java代码项目中广泛使用的开源日志组件,它的一个严重安全漏洞对于全球的软件供应链生态来讲不亚于一场新冠病毒的影响,任何企业的代码项目沾上它都有可能给企业带来致命的安全风险。 全球新一轮的产业数字化升级对开源软件的依赖日益提升,从而催生开源生态的蓬勃发展,而开源软件的全球化和开放共享的特性使得任何一个非常底层和基础的开源组件的漏洞都有可…

    2023年8月9日
    0
  • 墨菲安全在软件供应链安全领域阶段性总结及思考

    向外看:墨菲安全在软件供应链安全领域的一些洞察、思考、行动 洞察 现状&挑战: 正在发生的: 思考 为什么这么说? 一个行业越成熟,那么其生产过程中供应链体系就越完善和标准化,比较典型的案例就是汽车的生产和制造; 以汽车生产和制造为例,这个行业非常成熟,因此其供应链体系也相当完善和标准化。以下是一些具体的表现: 总的来说,随着汽车生产和制造行业的成熟…

    2024年1月2日
    0