14 条策略助力企业构建更安全的软件供应链

每个软件都存在供应链,然而现代软件大部分代码都是开源的,这意味着任何人都可以访问和编辑。但是软件平台的安全取决于其最薄弱的环节,安全漏洞可能随时出现,因此技术领导者必须建立监控和保护供应链中每个环节方案和动作。福布斯技术委员会给出应对软件供应链安全的14条明智的策略,为开发者、企业的安全建设带来思考和建议。

承包商在建造建筑物的时候,会按照计划和流程去采购使用预制和预切材料,同样如此,软件程序建立在开发实践和先前编写的代码基础上,其中一些并不是创建软件公司的唯一知识产权。事实上,现代软件大部分代码都是开源的,这意味着任何人都可以访问和编辑。

因此所有软件都有一个供应链,其所有组成部分还包括在其构思、创建、部署和维护过程中发生的一切。安全漏洞随时可能出现,因此技术领导者必须建立监控和保护软件供应链中每个环节的方法。福布斯技术委员会的 14 名成员讨论了建立安全软件供应链的明智策略,以及为何软件供应链安全如此重要。

14 条策略助力企业构建更安全的软件供应链

照片由会员个人提供,图中成员从左至右排列。

1. 在整个价值流中强调安全

安全不能只属于企业的一部分或留到最后再做。安全需要成为战略计划的一部分,并贯穿整个价值流。安全不是在生产之前就可以扫描的东西。告诉您的团队为什么安全需要成为整个流程的一部分,而不仅仅是给他们发布标准。在“为什么”中包括他们。- Laureen Knudsen, Broadcom

2.确保对供应链的可见性

可观察性是必不可少的。如果您不能“看到”您的供应链——无论是通过实际的视觉表示还是数字面包屑路径——您将无法分析它,无法随着时间的推移监控它的健康状况。供应链本来就很复杂,但必须找到分析这些链条的方法,以支持它们的演变和发展,并确保它们的长期生存能力和安全性。- Lewis Wynne-Jones, ThinkData Works

3.建立软件供应链存储和管理系统

大多数组织对开发人员所做的选择及其软件中的依赖项的可见性很差。如果没有所有组件的预先存货清单,当下一个零日事件发生时,他们只能争先恐后地查明它们是否受到影响、受影响的地点以及影响的严重程度。那些拥有库存和管理供应链系统的人能够立即开始补救,从而避免危机。- Brian Fox,Sonatype, Inc.

4. 应用零信任策略

在保护软件供应链时,应用零信任策略是一种有用的缓解措施。这一战略很重要,因为它可以通过公司与其供应商进行的深度合规和信任来评估和检查。- Yair Kuznitsov, anecdotes

5. 根据供应商的 SBOM 制定不同应对计划

软件物料清单或 SBOM 最近受到广泛关注,但 SBOM 只是该过程的第一步。向软件供应商索取 SBOM 清单,可以更了解供应商产品的组成有哪些组件。下一步重要的是围绕已公布的漏洞分析和一套应对计划,并构建流程。- Vincent Berk, Quantum Xchange

6.及时跟进补丁和更新

定期使用安全补丁和更新软件是建立安全软件供应链的一个重要步骤。为确保该程序及其创建者值得信赖,除了部署安全修复程序和升级之外,对他们进行适当的审查和监控也至关重要。- Neelima Mangal,Nutcache

7. 利用 MFA 并任命首席安全官

确保软件供应链流畅的首要任务是制定严密的安全计划。一次违规可能会破坏数月的辛勤工作,并导致您的员工和客户感到沮丧。我建议使用多因素身份验证,并聘请首席安全官来维护和制定您的网络安全策略。- Thomas Griffin, OptinMonster

8. 投资于工程师的教育和发展

十年来,安全一直是一个热门话题。目前已经开发了多种工具、框架和方法来促进安全的软件供应链。然而,尽管取得了进步,但仍然是链条中最薄弱的部分。因此,投资于工程师的教育和发展对于帮助他们提高对新工具、技术和威胁的认识至关重要。- Roman Reznikov , Intellias

9.定期进行离线备份

确保你有备份!云计算是伟大的,至少目前来说。每年审查您的软件服务提供商——尤其是那些提供关键应用程序、销售点或创收系统的提供商。如果存在风险,请确保实施一种方法来定期进行手动离线备份。- Rhonda Dibachi, HeyScottie.com

10. 让网络安全检查成为开发人员工作流的一部分

认真对待 DevSecOps。一种方法是将网络安全工作作为开发人员必须完成的任务之一。是否为设计期间的威胁建模;修复SAST、DAST、SCA工具显示的错误;或者修复通过bug赏金计划发现的漏洞,需要优先考虑网络安全问题,并将其作为工作的一部分。这意味着如果没有完成,那么工作就是不完整的。- Christine Bejerasco,WithSecure

11.实施安全编码和测试实践

实施安全编码和测试实践是确保软件供应链安全的重要步骤,因为它有助于在开发过程的早期识别和缓解安全漏洞,保护整个系统免受攻击。这很重要,因为软件供应链有多个合作伙伴和第三方组件非常复杂。- David Bitton, DoorLoop

12.建立检查清单

了解供应链安全是否有效的最佳方法是建立检查清单。该清单允许每个人成为“医生”,以确保建立安全的软件供应链。以下是我的八个检查点,包括:访问控制、安全存储、加密、安全传输、漏洞管理、定期更新、每日绩效跟踪系统审查和纠正措施。- Chaitra Vedullapalli, Women in Cloud

13.投资安全协作平台

软件平台的安全取决于其最薄弱的环节。随着供应链变得更加全球化,跨不同平台和多个数据集进行协作的需求呈指数级增长。虽然许多公司都采用了基于云的安全平台,但跨供应链的最常见沟通方式是通过电子邮件的方式发送电子表格,通过投资安全协作平台来消除这种需求是至关重要的。- Richard Lebovitz, LeanDNA

14. 审核、跟踪和审查进行中的软件组件

由于软件供应链是安全漏洞最新和最具影响的领域之一,因此确保您的软件构建过程的安全至关重要。最重要的事情是确保您知道正在构建和包含哪些组件的哪些版本,并进行审核、审查和跟踪以确保这些组件符合预期。- Michael Adler, N-able

(0)
上一篇 2023年8月9日 下午9:32
下一篇 2023年8月9日 下午6:57

相关推荐

  • 快手安全 X 墨菲安全|软件供应链安全解决方案完整分享

    本次分享由墨菲安全联合创始人&研发负责人宇佰超于 9 月 26 日快手安全沙龙中分享,本次主题《软件供应链安全体系、方法与落地》,文末附本次分享视频链接,欢迎大家查阅分享,如有任何欢迎联系我们一起交流讨论~ 随着国家 IT 及信息化的推广与普及、IT 行业的快速发展,软件供应链体系愈发的成熟。企业软件开发与信息化建设过程中,涉及与使用到的供应链比重越…

    2023年8月9日
    0
  • 小米IoT安全峰会|智能汽车行业软件供应链安全解决方案

    墨菲安全在小米IoT安全峰会分享智能汽车安全解决方案 2022年6月30日,墨菲安全受邀参与小米IoT安全峰会,本次由墨菲安全联合创始人、墨菲安全实验室负责人、软件供应链安全开源项目murphysecurity主要贡献者欧阳强斌带来分享,智能汽车行业的软件供应链安全威胁与解决方案。 智能汽车涉及的三类供应链风险的场景 一、开源软件服务的风险 过去有数据统计,…

    2023年8月9日
    0
  • 24000字企业开源安全治理最佳实践发布

    写在前面 这篇最佳实践的内容取材于互联网、金融、运营商、智能制造、能源等领域数十家头部企业在过去近三年时间的实践经验总结,在编写这篇最佳实践的2个多月过程中,我又收到将近20家企业的应用安全专家及安全负责人的高质量建议,这其中包括来自小米的piaca、月胜、涂鸦智能的刘龙威、快手的廖师傅及非零解、百度的长林、知乎的维祥及夜明、传化物流的国超、某支付的刘奇及山…

    2024年4月30日
    0
  • 企业开展开源安全治理必要性及可行性详细分析

    背景 开源软件安全威胁是近几年企业安全面临的主要威胁,也是企业应用安全方向讨论的热门话题,但是由于是新的需求新的方向,很多企业在观望,当前开展这项工作是否已经成熟,项目成功率如何? 当新鲜事物产生时,首先我们应该积极的态度去拥抱它,但是它是不是真的值得我们投入(包括当下工作和未来个人技术成长),就需要客观的分析其必要性,同时结合自身情况了解它的可行性。 开源…

    2024年3月18日
    0
  • 如何通过漏洞可利用性交换来帮助医疗保健优先考虑网络安全风险

    作者:Taylor Lehmann、Seth Rosenblatt 诊断和治疗慢性疼痛可能是复杂的、困难的,对患者和医生来说充满了不确定性。根据患者的状况和医生的知识水平,做出正确的诊断需要时间,可能还需要尝试不同的治疗方法。 这种反复试验的过程可能使患者陷入痛苦和困惑的境地,直到能够开出最佳的药方。这种情况类似于许多当今安全运营团队所面临的日常挑战。 站在…

    2023年8月10日
    0