當(dāng)前,應(yīng)用軟件大多數(shù)基于開源的框架,開源框架的源代碼、疊加的自研源代碼。都需要進(jìn)行安全漏洞測試。企業(yè)的軟件開發(fā)比以往任何時候都更加依賴開源項目,也因此需要管理組件和第三方供應(yīng)商中的漏洞帶來的風(fēng)險。
FORRESTER安全與風(fēng)險會議分析師在Forrester安全與風(fēng)險2021會議上建議,公司需要采取措施將供應(yīng)鏈中第三方軟件帶來的風(fēng)險降至最低。在過去幾年里,供應(yīng)鏈攻擊已顯著增長。
開源軟件漏洞引發(fā)安全問題
隨著外部攻擊越來越多地通過第三方軟件中的漏洞(例如開源項目或第三方供應(yīng)商的漏洞)引發(fā)擔(dān)憂。
根據(jù)Forrester對530個安全決策的調(diào)查,超過三分之一 (35%) 的外部攻擊是通過利用漏洞進(jìn)行的,而另外三分之一 (33%) 來自對第三方服務(wù)或軟件制造商提供的軟件漏洞進(jìn)行破壞。由此可見,在軟件開發(fā)期間加強對代碼中安全漏洞的檢測及修復(fù),可以大大有效避免漏洞利用引起的網(wǎng)絡(luò)攻擊。
Forrester高級分析師Alla Valente表示,如果公司不采取措施解決這個問題,第三方風(fēng)險的增長可能會破壞企業(yè)應(yīng)用程序的安全性。
她表示,我們面臨很多第三方風(fēng)險,而且還在不斷升級。部分原因是當(dāng)前第三方的數(shù)量比以往任何時候都多。
安全法規(guī)促使企業(yè)重視軟件安全
隨著全球不同國家政府機構(gòu)開始起草安全軟件指南,這個問題將在2022年變得更加重要。
例如,拜登政府在5月簽署了一項行政命令,要求國家標(biāo)準(zhǔn)與技術(shù)研究所(NIST)為聯(lián)邦承包商起草指導(dǎo)方針,以更好地保護(hù)軟件安全。這些指導(dǎo)方針包括為政府的產(chǎn)品提供軟件材料清單,并證明開發(fā)人員構(gòu)建環(huán)境的安全性。NIST已經(jīng)制定了保護(hù)物聯(lián)網(wǎng)設(shè)備和軟件安全的指導(dǎo)原則草案。
我國的《關(guān)鍵基礎(chǔ)設(shè)施保護(hù)條例》、《數(shù)據(jù)安全法》、等保2.0等政策也明確表示了在軟件安全、數(shù)據(jù)安全等各個方面企業(yè)應(yīng)準(zhǔn)備的工作和承擔(dān)的相應(yīng)責(zé)任。
開源軟件包漏洞難確定
“大多數(shù)開發(fā)人員只是連接到一個存儲庫,然后下載他們正在使用的任何軟件包的最新軟件版本,但這些軟件包是否存在漏洞,或者每個人是否都在使用相同的版本?” Forrester首席分析師Condo表示,如果不關(guān)注此類問題,公司只是在推遲安全問題。
開源軟件的不一致性質(zhì)仍然是一個關(guān)鍵問題。雖然主要的軟件包通常管理良好,但許多企業(yè)最終使用的包(通常是通過更常見的組件的依賴關(guān)系)管理得不太好,可能存在漏洞。
盡管開源軟件項目平均修復(fù)漏洞的時間顯著下降(從2011年的371天下降到2021年的28天),但主要生態(tài)系統(tǒng)托管的軟件包數(shù)量顯著增長,根據(jù)軟件安全公司Sonatype發(fā)布的一份報告,去年增長了20%。
Condo表示,公司需要深入研究在軟件開發(fā)中所依賴的軟件包,并確定它們是否構(gòu)成安全問題。他說:“了解你真正依賴的是什么真的很重要。哪里是最薄弱的環(huán)節(jié),這些問題會在哪里出現(xiàn),我們應(yīng)該使用專有包或策劃好的東西。”
AI/ML因素
隨著越來越多的企業(yè)追求基于人工智能和機器學(xué)習(xí)(AI/ML)的分析,他們也面臨著類似的問題。AI/ML代表了開源問題的一個特定方面,因為開源項目中編碼了大量的算法。分析師Valente表示,企業(yè)應(yīng)確定這些組件是否對其業(yè)務(wù)構(gòu)成風(fēng)險。
“組織正在利用人工智能和機器學(xué)習(xí),問題不在于他們是否會使用人工智能和機器學(xué)習(xí),而是他們是否會購買或構(gòu)建它,”Valent表示。“如果他們打算購買ML或AI模型,在很多情況下它是開源的,甚至商業(yè)軟件也有75%到90%是開源的。”
提前發(fā)現(xiàn)問題降低成本
企業(yè)需要在軟件開發(fā)的早期關(guān)注安全問題。Condo表示,確定開源依賴項帶來安全問題并將其排除在外,比試圖在部署后關(guān)閉軟件中發(fā)現(xiàn)的安全問題要便宜得多。
同樣要注意的是,在自研代碼中存在的安全漏洞一樣需要及時檢測靜態(tài)代碼安全和修正缺陷。數(shù)據(jù)顯示,在軟件測試、發(fā)布階段糾正缺陷的成本是編碼階段發(fā)現(xiàn)并糾正缺陷的成本的15-90倍,如果在交付用戶之后才發(fā)現(xiàn)并解決缺陷,這個數(shù)字將達(dá)到50-200倍。因此,在編碼實現(xiàn)階段發(fā)現(xiàn)并解決盡可能多的缺陷,能夠極大降低缺陷管理成本,據(jù)相關(guān)統(tǒng)計數(shù)字估計,這個成本至少可以降低1/3。
Condo表示,在軟件開發(fā)初期不夠關(guān)注靜態(tài)代碼及開源組件的安全,就會制造更多的技術(shù)債務(wù)和安全問題,將不得不以更昂貴的方式處理下游問題。安全應(yīng)該成為整個軟件開發(fā)鏈的一部分,諸如如何更安全的開發(fā)軟件、保護(hù)API安全和數(shù)據(jù)安全,并建立安全相應(yīng)機制。
參讀鏈接:
文章版權(quán)歸作者所有,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除。
轉(zhuǎn)載請注明本文地址:http://specialneedsforspecialkids.com/yun/123750.html
