全球互联数字供应链时代下,软件已经渗透到我们工作和生活的方方面面,与各个领域紧密衔接。软件开发和生产也从传统的封闭、单一模式转变为现代的分布式、多样化模式,形成“软件供应链”。然而,软件供应链安全市场在蓬勃发展的同时,也逐步趋于复杂化和多样化,其安全风险不断加剧,引发全球的担忧。

尤其在重保场景下,攻击者可以利用软件供应链其中的一个弱点或者漏洞,突破边界防线,直接导致核心业务应用被攻破和重要数字资产的丢失,这种渗透内部获取机密或者植入恶意代码引起的破防比例极高。

此前爆发的SolarWinds、Log4j、Microsoft和Okta等多个软件供应链攻击事件对企业造成严重的冲击,也对全球经济构成显著威胁。Gartner报告指出,恶意代码注入威胁次数的增加使得保护内部代码及外部依赖项(开源和商业软件)变得越发重要,到2025年全球45%组织机构的软件供应链将遭到攻击,这个数据将会是2021年的三倍。

软件供应链哪个环节掉链了?

您是否被以下问题困扰:

企业使用的软件因软件供应链漏洞易被攻陷软件工程包含开源组件、开源代码存在风险

无法快速定位自家软件的组件的0day漏洞

●  事前 无法提前感知

截至 2023 年 9 月,Sonatype《软件供应链状况》报告显示,研究团队共发现了 245,032 个恶意软件包,是往年总和的 2 倍。八分之一的开源下载存在已知风险,且仍有 23% 的 Log4j 下载存在严重漏洞。可见,大多数企业在业务上线前,是无法提前感知研发流水线中开源组件/代码的安全问题。在软件应用生命周期里,修复漏洞的成本随着发现漏洞阶段的进程呈几何级数增长,传统的漏洞检测方法通常只能在业务系统开发完成后才能介入,这导致漏洞的修复成本高昂,甚至很多漏洞在安全事件发生后才会被发现及修正。

●  事中 无法快速响应

重保响应中,企业往往难以迅速定位哪些业务应用程序中包含0Day漏洞或供应链中的恶意组件,而供应链投毒则涉及到在软件或硬件的供应链中植入恶意代码,这样的行为可能在产品分发之前就已经发生,使得传统的安全措施难以发现。

●  事后 核心业务容易破防

与过去相比,现代网络系统环境变得更加复杂,许多组织现在依赖于智能化、云服务和开源技术。业务运营涉及众多参与者,使得供应链管理变得更加复杂。随着越来越多的第三方外包公司参与到供应链中,供应链的链条变得更长。任何环节的数据泄露、恶意代码注入或服务中断都可能对整个供应链造成严重破坏,企业核心业务因此破防。鉴于软件供应链安全问题涉及到层面过于复杂,有来自开源组件使用问题,典型如log4j组件漏洞、xz组件漏洞,有上游的管理权限问题,也有自身代码问题等,这条链子上但凡哪一环节出现问题,都会危害整个链路安全。因此,如何一键护航软件供应链,快准狠确保使用的组件安全,成为安全厂商的重要课题。

场景落地打造“共赢链”

●  风险源强把控

将安全插件集成到软件开发生命周期(SDLC)和研发流程中,推动“安全左移”策略的实施。在发布前对发布包进行安全检查,以保证软件的安全性和合规性,确保发布流程中的关键安全检查点得到有效建立。

●  自查风险修复

主动扫描软件供应链中使用的第三方组件和开源软件,监控整个供应链的安全性。将不同供应商的系统和应用集成后,进行统一的安全测试,厘清责任归属,实现精确的漏洞扫描,并提供专业的漏洞修复方案。

●  敏感信息收敛

支持对密钥、设备、通用敏感信息等多个敏感项的检查,并对系统中的网络、服务、文件、进程、权限等进行安全审计,以降低信息泄露和非法利用的风险。

●  快速定位响应

通过实现函数级别的分析,主动评估合规风险,确保软件供应链的每个环节都满足可追溯性和完整性的要求。利用软件物料清单(SBOM)提高软件的透明度,有效识别易受攻击的组件,从而增强快速响应能力。

覆盖SDLC全流程上线畅通“供应链”

事实上,软件供应链问题涉及人员素质、操作流程及安全意识等多个维度,并非仅是技术层面的问题。面对软件开发流程中的供应链安全威胁,需要将软件供应链安全风险与软件开发生命周期(SDLC)紧密结合起来考虑,确保安全实践与开发流程紧密结合。

腾讯软件供应链方案覆盖SDLC全流程上线,强调始终使用安全组件的重要性,以确保风险能够第一时间得到控制。它包括建立软件安全准入体系、开发运营风险管控和合规、风险与隐私管控三大方面,以及软件准入、开源管理、软件依赖、漏洞管理、版本管理、来源管理和威胁情报等七个关键环节,从代码托管、代码编写、单元测试、构建部署、集成测试、制品管理和持续部署等整链环环相扣,为软件供应链运行保驾护航,是企业的等保合规利器。

image.png

●  重保期间,腾讯安全软件成分分析工具限时赠送试用流量:

●  更多个性私有化方案欢迎通过产品官网联系腾讯安全团队!

免责声明:市场有风险,选择需谨慎!此文仅供参考,不作买卖依据。

推荐内容