Anchore最近的調(diào)查研究表明，2021年里,，五分之三以上的公司遭遇過軟件供應(yīng)鏈攻擊,。調(diào)查征集了IT、安全,、開發(fā)和DevOps領(lǐng)域428位高管,、主管和經(jīng)理的意見，結(jié)果顯示：近三分之一（30%）的受訪者所在企業(yè)在2021年所受軟件供應(yīng)鏈攻擊的影響為嚴(yán)重或中等,。僅6%的受訪者認(rèn)為攻擊對其軟件供應(yīng)鏈的影響很小,。

　　調(diào)查結(jié)果呈現(xiàn)了Apache Log4實用程序漏洞暴露前后軟件供應(yīng)鏈攻擊的變化。研究人員在2021年12月3日至12月30日期間編撰此調(diào)查報告,，而Log4j漏洞是在12月9日披露的,。12月9日之前，55%的受訪者表示自己遭遇了軟件供應(yīng)鏈攻擊,。這個日期之后,，表示遭遇軟件供應(yīng)鏈攻擊的受訪者上升到了65%。

　　Anchore高級副總裁Kim Weins表示：“這意味著有受訪者在Log4j之前沒有遭遇供應(yīng)鏈攻擊,，還有受訪者之前經(jīng)歷了攻擊,，但在Log4j之后所受影響加重了,。”

　　科技公司受軟件供應(yīng)鏈攻擊的影響更大

　　調(diào)查還發(fā)現(xiàn),，與其他行業(yè)相比（3%）,，受軟件供應(yīng)鏈攻擊嚴(yán)重影響的科技公司更多（15%）。Wein稱：“科技公司有可能提高惡意攻擊者的投資回報率,。只要攻擊者可以染指軟件產(chǎn)品,，而該軟件產(chǎn)品為成千上萬的用戶所用，那么攻擊者就能在萬千其他公司中立足,?！?/p>

　　許多企業(yè)似乎也開始重視供應(yīng)鏈安全了：54%的受訪者將供應(yīng)鏈安全視為首要或重要的關(guān)注領(lǐng)域。成熟容器用戶對供應(yīng)鏈安全的關(guān)注度甚至更高：70%的成熟容器用戶表示供應(yīng)鏈安全是其首要或重要關(guān)注點,。

　　Weins表示：“你必須留意的依賴數(shù)量會隨著容器和云原生部署而增加,。因此，隨著容器使用的愈加成熟,，用戶逐漸意識到自己必須關(guān)注這些依賴所引入的新增攻擊面,。”

　　軟件物料清單（SBOM）是保護軟件供應(yīng)鏈的關(guān)鍵

　　調(diào)查報告指出,，盡管很多受訪者將保護軟件供應(yīng)鏈視為頭等大事,，但將軟件物料清單（SBOM）納入自身安全態(tài)勢考量的受訪者卻很少。例如,，僅不到三分之一的受訪者遵從了SBOM最佳實踐,，而自家所有應(yīng)用都具備完整SBOM的受訪者更是僅有18%。

　　Weins稱：“我們認(rèn)為SBOM是確保軟件供應(yīng)鏈安全的重要基礎(chǔ),，因為可以通過SBOM了解實際在用的軟件,。”

　　曝出漏洞時,，SBOM還有助于縮短安全團隊的響應(yīng)時間,。資產(chǎn)管理和治理解決方案公司JupiterOne首席信息安全官Sounil Yu指出：“如果沒有SBOM，修復(fù)這些漏洞的時間可能會延長至數(shù)月乃至數(shù)年”,。

　　數(shù)字風(fēng)險防護解決方案提供商Digital Shadows首席信息安全官Rick Holland補充道：“缺乏SBOM,，客戶就會購買黑盒解決方案，由此導(dǎo)致無法全面了解產(chǎn)品或服務(wù)中使用的所有組件,?！?/p>

　　Weins堅定認(rèn)為，SBOM是2022年必備,?！按蠹叶己芮宄浖踩加诹私饽闼鶕碛械囊磺?，也就是擁有完整的組件列表,，然后在交付軟件之前對照檢查是否全都安全,。而在軟件部署之后，你還需要持續(xù)監(jiān)測軟件的安全性,?！?/p>