《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > 實施軟件供應(yīng)鏈安全解決方案時的十大常見錯誤

實施軟件供應(yīng)鏈安全解決方案時的十大常見錯誤

2022-11-06
來源:安全419
關(guān)鍵詞: 供應(yīng)鏈安全

  開源代碼在應(yīng)用程序中變得越來越普遍,,隨著開源軟件包數(shù)量不斷增加,不安全的組件越來越多地進(jìn)入世界各地的軟件供應(yīng)鏈,。于是乎,,保護(hù)軟件供應(yīng)鏈的需求逐步增長,但企業(yè)應(yīng)注意到在實施解決方案來管理風(fēng)險時所犯的常見錯誤,。日前,,Sonatype發(fā)布了《The Top 10 Mistakes when Implementing a Secure Software Supply Chain Solution》(以下簡稱“《報告》”),為我們闡述了實施軟件供應(yīng)鏈安全解決方案時的十大常見錯誤,。

  01,、不關(guān)注開發(fā)人員的工作效率

  對于希望保護(hù)其軟件供應(yīng)鏈的企業(yè)而言,開發(fā)人員的工作效率是一項共同挑戰(zhàn),。開發(fā)人員需更換不安全的組件,這不會影響應(yīng)用程序的初始開發(fā),,但安全性需要預(yù)先成為開發(fā)人員工作流程的一部分,,這可以最大限度地降低應(yīng)用程序部署后的風(fēng)險。

  02,、未與 DevOps工具等集成

  與DevOps工具等集成應(yīng)成為企業(yè)的一項重要要求,,其確保了軟件供應(yīng)鏈安全可以完全集成到企業(yè)的開發(fā)環(huán)境中,而不僅僅是用作另一個獨(dú)立的應(yīng)用程序,,這樣可以有效保護(hù)軟件供應(yīng)鏈安全,。

  03、不關(guān)注數(shù)據(jù)準(zhǔn)確性和低誤報率

  低誤報率對于提高開發(fā)人員的工作效率和增強(qiáng)對安全團(tuán)隊的信任至關(guān)重要,。安全誤報已經(jīng)成為最大痛點之一,,因為其主要任務(wù)是監(jiān)控安全事件并及時調(diào)查和響應(yīng),如果他們被成百上千的虛假警報淹沒,,無疑會分散其對真正威脅做出有效響應(yīng)的注意力,。

  04、未掌握許可證信息

  許可證信息也可能不準(zhǔn)確或不合規(guī),。企業(yè)團(tuán)隊需要及時了解每個組件的任何版本發(fā)布,、補(bǔ)丁和許可證問題。

  05,、不阻擋不需要的組件

  不安全的開源組件應(yīng)該被阻止在軟件供應(yīng)鏈之外,。這包括漏洞、盜版和不兼容的許可證等問題,。MIB集團(tuán)的高級企業(yè)架構(gòu)師表示其團(tuán)隊能夠定義他們愿意承擔(dān)的風(fēng)險級別,,以阻止不需要的開源組件進(jìn)入其開發(fā)生命周期。

  06,、不跨“孤島”進(jìn)行規(guī)劃

  在實施軟件供應(yīng)鏈安全解決方案時,,一個常見的錯誤是沒有跨企業(yè)內(nèi)的“孤島”進(jìn)行規(guī)劃,。團(tuán)隊需要確保每個人(包括安全、開發(fā)和 DevOps 團(tuán)隊)都了解開源安全和許可證管理所需的新流程和措施,。

  07,、不關(guān)注整個 SLDC 自定義策略的實施

  另一個常見錯誤與跨各種應(yīng)用程序類型實施不同類型的自定義策略有關(guān)。團(tuán)隊需要決定是否要對具有更寬松許可證的組件實施更嚴(yán)格的標(biāo)準(zhǔn),,反之亦然,。軟件企業(yè)在軟件開發(fā)生命周期 (SDLC) 中集成安全性也是保護(hù)組織免受數(shù)據(jù)泄露和其他網(wǎng)絡(luò)攻擊的關(guān)鍵。

  08,、在開發(fā)運(yùn)營和 AppSec 團(tuán)隊中沒有戰(zhàn)略和目標(biāo)

  企業(yè)需要意識到不實施特定軟件供應(yīng)鏈戰(zhàn)略的潛在影響,,這包括解決軟件開發(fā)團(tuán)隊,安全團(tuán)隊和其他利益相關(guān)者的安全問題,。企業(yè)也應(yīng)該清楚,,沒有實施軟件供應(yīng)鏈安全解決方案的目標(biāo)可能會導(dǎo)致成本隨著時間的推移而增加。

  09,、未提高安全應(yīng)用程序的上市速度

  安全軟件供應(yīng)鏈的改進(jìn)使團(tuán)隊能夠更快地生成安全應(yīng)用程序,,這可以加快新開發(fā)項目和服務(wù)的上市時間。除了安全優(yōu)勢之外,,此改進(jìn)還有助于企業(yè)避免因不安全的組件違規(guī)和可能引入應(yīng)用程序的漏洞而造成的重大責(zé)任,。

  10、未盡快實施相應(yīng)的軟件供應(yīng)鏈安全解決方案

  企業(yè)盡早開始實施相應(yīng)的軟件供應(yīng)鏈安全解決方案非常重要,。企業(yè)面臨來自商業(yè)開源組件的安全,、許可和性能問題的重大風(fēng)險如果不加以解決,這些問題可能會給開發(fā)團(tuán)隊帶來更多的工作,,同時也會增加成本,。

  長期專注于DevSecOps、軟件供應(yīng)鏈安全領(lǐng)域的老牌企業(yè)孝道科技給出了其解決方案:新一代數(shù)字化應(yīng)用安全平臺,。平臺包含了孝道科技的三大安全原子能力,,分別是IAST(交互式應(yīng)用安全測試系統(tǒng))、開源組件安全檢測與分析系統(tǒng)(SCA)以及RASP(應(yīng)用的自適應(yīng)免疫防護(hù)),。這三個能力之間有深度耦合以及智能協(xié)同,,這意味著用戶在做交互式應(yīng)用安全測試時,就可以同時有能力去針對漏洞的可達(dá)性,、可利用性進(jìn)行測試,,相當(dāng)于將組件安全和IAST有機(jī)的結(jié)合起來。

  最早投身軟件供應(yīng)鏈領(lǐng)域的安全企業(yè)懸鏡安全也給出了他們的解決方案,。懸鏡安全憑借多年技術(shù)攻關(guān)首創(chuàng)專利級代碼疫苗技術(shù)和下一代積極防御框架,,并通過“全流程軟件供應(yīng)鏈安全賦能平臺+敏捷安全工具鏈”的第三代DevSecOps智適應(yīng)威脅管理體系及配套的敏捷安全閉環(huán)產(chǎn)品體系、軟件供應(yīng)鏈安全組件化服務(wù),,已幫助上千家用戶構(gòu)筑起適應(yīng)自身業(yè)務(wù)彈性發(fā)展,、面向敏捷業(yè)務(wù)交付并引領(lǐng)未來架構(gòu)演進(jìn)的內(nèi)生積極防御體系,。



  更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<

二維碼.png


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點,。轉(zhuǎn)載的所有的文章、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容,、版權(quán)和其它問題,,請及時通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟(jì)損失,。聯(lián)系電話:010-82306118;郵箱:[email protected],。