超三分之一外部攻擊通過利用漏洞進行 第三方軟體風險顯著增加

當前，應用軟體大多數基於開源的框架，開源框架的原始碼、疊加的自研原始碼。都需要進行安全漏洞測試。企業的軟體開發比以往任何時候都更加依賴開源專案，也因此需要管理元件和第三方供應商中的漏洞帶來的風險。

FORRESTER安全與風險會議分析師在Forrester安全與風險2021會議上建議，公司需要採取措施將供應鏈中第三方軟體帶來的風險降至最低。在過去幾年裡，供應鏈攻擊已顯著增長。

開源軟體漏洞引發安全問題

隨著外部攻擊越來越多地通過第三方軟體中的漏洞(例如開源專案或第三方供應商的漏洞)引發擔憂。

根據Forrester對530個安全決策的調查，超過三分之一 (35%) 的外部攻擊是通過利用漏洞進行的，而另外三分之一 (33%) 來自對第三方服務或軟體製造商提供的軟體漏洞進行破壞。由此可見，在軟體開發期間加強對程式碼中安全漏洞的檢測及修復，可以大大有效避免漏洞利用引起的網路攻擊。

Forrester高階分析師Alla Valente表示，如果公司不採取措施解決這個問題，第三方風險的增長可能會破壞企業應用程式的安全性。

她表示，我們面臨很多第三方風險，而且還在不斷升級。部分原因是當前第三方的數量比以往任何時候都多。

安全法規促使企業重視軟體安全

隨著全球不同國家政府機構開始起草安全軟體指南，這個問題將在2022年變得更加重要。

例如，拜登政府在5月簽署了一項行政命令，要求國家標準與技術研究所(NIST)為聯邦承包商起草指導方針，以更好地保護軟體安全。這些指導方針包括為政府的產品提供軟體材料清單，並證明開發人員構建環境的安全性。NIST已經制定了保護物聯網裝置和軟體安全的指導原則草案。

我國的《關鍵基礎設施保護條例》、《資料安全法》、等保2.0等政策也明確表示了在軟體安全、資料安全等各個方面企業應準備的工作和承擔的相應責任。

開源軟體包漏洞難確定

“大多數開發人員只是連線到一個儲存庫，然後下載他們正在使用的任何軟體包的最新軟體版本，但這些軟體包是否存在漏洞，或者每個人是否都在使用相同的版本?” Forrester首席分析師Condo表示，如果不關注此類問題，公司只是在推遲安全問題。

開源軟體的不一致性質仍然是一個關鍵問題。雖然主要的軟體包通常管理良好，但許多企業最終使用的包(通常是通過更常見的元件的依賴關係)管理得不太好，可能存在漏洞。

儘管開源軟體專案平均修復漏洞的時間顯著下降(從2011年的371天下降到2021年的28天)，但主要生態系統託管的軟體包數量顯著增長，根據軟體安全公司Sonatype釋出的一份報告，去年增長了20%。

Condo表示，公司需要深入研究在軟體開發中所依賴的軟體包，並確定它們是否構成安全問題。他說:“瞭解你真正依賴的是什麼真的很重要。哪裡是最薄弱的環節，這些問題會在哪裡出現，我們應該使用專有包或策劃好的東西。”

AI/ML因素

隨著越來越多的企業追求基於人工智慧和機器學習(AI/ML)的分析，他們也面臨著類似的問題。AI/ML代表了開源問題的一個特定方面，因為開源專案中編碼了大量的演算法。分析師Valente表示，企業應確定這些元件是否對其業務構成風險。

“組織正在利用人工智慧和機器學習，問題不在於他們是否會使用人工智慧和機器學習，而是他們是否會購買或構建它，”Valent表示。“如果他們打算購買ML或AI模型，在很多情況下它是開源的，甚至商業軟體也有75%到90%是開源的。”

提前發現問題降低成本

企業需要在軟體開發的早期關注安全問題。Condo表示，確定開源依賴項帶來安全問題並將其排除在外，比試圖在部署後關閉軟體中發現的安全問題要便宜得多。

同樣要注意的是，在自研程式碼中存在的安全漏洞一樣需要及時 檢測靜態程式碼安全和修正缺陷。資料顯示，在軟體測試、釋出階段糾正缺陷的成本是編碼階段發現並糾正缺陷的成本的15-90倍，如果在交付使用者之後才發現並解決缺陷，這個數字將達到50-200倍。因此，在編碼實現階段發現並解決儘可能多的缺陷，能夠極大降低缺陷管理成本，據相關統計數字估計，這個成本至少可以降低1/3。

Condo表示，在軟體開發初期不夠關注靜態程式碼及開源元件的安全，就會製造更多的技術債務和安全問題，將不得不以更昂貴的方式處理下游問題。安全應該成為整個軟體開發鏈的一部分，諸如如何更安全的開發軟體、保護API安全和資料安全，並建立安全相應機制。

參讀連結：

https://www.darkreading.com/application-security/third-party-software-risks-grow-but-so-do-solutions