根據(jù)Sonatype發(fā)布的一份報告，僅在2023年就記錄了 245K 個惡意應(yīng)用程序包。這一數(shù)字是2022年統(tǒng)計數(shù)字的三倍，是2019年以來歷年數(shù)字總和的兩倍。相關(guān)報道還顯示，去年這些事件給企業(yè)造成的損失高達(dá)458億美元，預(yù)計到2026年，全球經(jīng)濟(jì)影響將達(dá)到800億美元。可見，威脅行為者越來越多地利用軟件供應(yīng)鏈的漏洞來滲透企業(yè)網(wǎng)絡(luò)，由此，軟件開發(fā)安全，乃至整個軟件供應(yīng)鏈安全問題越來越受到企業(yè)的重視。那么應(yīng)該如何降低軟件供應(yīng)鏈風(fēng)險，確保軟件供應(yīng)鏈安全呢？Privacy-PC的 David Balaban提供了最大限度降低軟件供應(yīng)鏈風(fēng)險的10種方法，以下是相關(guān)內(nèi)容。

1、安全編碼實(shí)踐

將安全納入從開始到部署的軟件開發(fā)生命周期 (SDLC)。使用靜態(tài)和動態(tài)代碼分析工具，對開發(fā)人員進(jìn)行威脅建模方面的培訓(xùn)，并執(zhí)行漏洞評估，以便在軟件工程工作流程的早期識別和修復(fù)薄弱環(huán)節(jié)。

2、依賴性管理

維護(hù)組織內(nèi)部使用的軟件依賴關(guān)系和庫的清單。定期更新和修補(bǔ)這些實(shí)體，以解決已知的安全漏洞。自動依賴性掃描工具可簡化這一流程。

3、供應(yīng)商管理

優(yōu)先考慮具有良好安全記錄的第三方承包商。制定嚴(yán)格的供應(yīng)商評估標(biāo)準(zhǔn)，包括安全標(biāo)準(zhǔn)、合規(guī)要求和事件響應(yīng)能力。將供應(yīng)商的 DNS 歷史記錄與與軟件供應(yīng)鏈攻擊和漏洞相關(guān)的已知破壞指標(biāo) (IOC) 進(jìn)行交叉比對。此外，還要定期評估和審核供應(yīng)商，以確保他們始終遵守既定的安全規(guī)范。

4、軟件物料清單 (SBOM)

創(chuàng)建并維護(hù)全面的 SBOM，詳細(xì)說明代碼庫中使用的所有組件，包括開源庫、框架和模塊及其版本和補(bǔ)丁狀態(tài)。該清單提供了識別和修復(fù)軟件供應(yīng)鏈中的漏洞所需的可見性。

5、防篡改分發(fā)渠道

應(yīng)用程序在傳輸過程中特別容易被濫用。使用端到端加密、數(shù)字證書和安全協(xié)議來保護(hù)軟件包，使其在到達(dá)目標(biāo)受眾的途中不會被攔截或發(fā)生未經(jīng)授權(quán)的篡改。

6、網(wǎng)絡(luò)分割

隔離開發(fā)、構(gòu)建和部署環(huán)境，以限制某一區(qū)域出現(xiàn)漏洞的潛在影響。防火墻、虛擬局域網(wǎng)（VLAN）和軟件定義網(wǎng)絡(luò)（SDN）工具可促進(jìn)網(wǎng)絡(luò)分段，并遏制威脅行為者在入侵情況下的橫向移動。

7、多因素身份驗(yàn)證

這種技術(shù)使攻擊者更難獲得對開發(fā)人員工作站的未經(jīng)授權(quán)訪問。只有在整個軟件供應(yīng)鏈（包括遠(yuǎn)程員工的設(shè)備和供應(yīng)商系統(tǒng)）都使用多因素身份驗(yàn)證時，多因素身份驗(yàn)證才能發(fā)揮作用。

8、細(xì)粒度訪問控制

根據(jù)用戶角色和職責(zé)指定權(quán)限和特權(quán)。建議對訪問生產(chǎn)環(huán)境或部署軟件更新等高風(fēng)險操作執(zhí)行額外的身份驗(yàn)證因素。

9、威脅情報

訂閱威脅情報信息，主動應(yīng)對新出現(xiàn)的風(fēng)險。這一策略可與漏洞管理計劃配合使用，根據(jù)嚴(yán)重程度確定修復(fù)工作的優(yōu)先順序。

10、事件響應(yīng)規(guī)劃

制定一個路線圖，概述如何識別、控制和恢復(fù)軟件供應(yīng)鏈攻擊。該計劃應(yīng)包括通知利益相關(guān)者和受影響用戶的溝通協(xié)議。

服務(wù)器、桌面和移動應(yīng)用程序作為當(dāng)今任何組織基礎(chǔ)設(shè)施的粘合劑，除了這10種方法，提升開發(fā)人員安全意識也很重要。這將使軟件供應(yīng)鏈安全成為一項(xiàng)協(xié)作工作，每個團(tuán)隊成員都將發(fā)揮重要作用。

來源 | scmagazine
編輯 | 銳成信息
參考鏈接：https://www.scmagazine.com/perspective/ten-ways-to-minimize-software-supply-chain-risks