軟體供應鏈中斷時代

軟體供應鏈正迅速成為廣泛的攻擊媒介，保護軟體供應鏈安全已經成為企業的重點任務。

太陽風(SolarWinds)、Kaseya和GitLab只是近年來容易受到攻擊的組織中的幾個例子。我們還看到了越來越多的漏洞，比如Log4j和Log4Shell，它們有可能影響數十億臺裝置。這些例子的共同之處在於，它們利用了開源軟體的漏洞和軟體交付過程中通常使用的第三方依賴關係——這意味著一個損壞的包可能會對整個科技行業產生廣泛的影響。

應用程式安全需要一個持續的上下文，需要了解應用程式在執行時在軟體生態系統中的執行方式，否則將可能錯過巨大的漏洞。

理解軟體供應鏈中斷

大多數人都知道什麼是傳統的產品供應鏈——它包含了將產品送到終端消費者的所有相關元件，從原材料到製造、分銷和零售地點。但是，近段時間我們不難發現這條鏈條的脆弱性。如果關閉了其中一個元件，所有消費者都會受到影響，導致從油價上漲到嬰兒食品短缺的一切問題。2021年，61%的組織受到了供應鏈攻擊。

在軟體領域，供應鏈也可以被認為是類似的——在軟體產品和最終消費者之間涉及許多元件。開發人員編寫程式碼，整合第三方庫和框架，將其放入原始碼系統，推送到測試環境，並最終部署到生產環境。

第三方暴露可能會在上述工作流程中造成巨大的中斷。這可能會以不安全的庫、底層雲漏洞或API漏洞的形式出現。這些嵌入在軟體棧中的APIA相當於一個黑匣子。還可能存在配置錯誤的S3儲存桶，從而可能不斷洩露數百萬條記錄。更嚴重的應用程式安全威脅包括遠端程式碼執行。

為什麼現在安全問題突出?

那麼，為什麼與軟體供應鏈相關的安全事件會突然激增呢?畢竟，開源軟體、API和第三方供應商已經存在了幾十年。隨著數字時代來臨以及應用程式的快速開發，安全問題應該隨著開發進行而進行，或者整合到開發流程當中，例如 DevSecOps。

隨著第三方供應商和依賴項數量的增加，攻擊面也隨之增加。Productiv資料發現，平均每家公司擁有254個SaaS應用程式。此外，在攻擊者方面，我們看到自動化和複雜程度不斷提高。

加固鏈條

軟體供應鏈問題是一個複雜的問題，任何單一的行動都不能完全解決。以下幾點共企業參考：

原始碼分析和供應商管理。審查合作伙伴以及透過 檢測程式碼安全漏洞和暴露(cve)來審查新軟體的過程是很重要的。

持續的執行時安全監控。新的漏洞不斷被發現。因此，組織需要在執行時保持持續的防禦態勢，即使在開發過程中是安全的。持續的全棧發現必須考慮許多第三方元件，例如 SDK、開原始碼、移動應用程式、Web 服務、雲服務、API 以及身份和訪問管理。

透過SBOM提高透明度。軟體材料清單 (SBOM) 的更廣泛使用對於提高整個行業的透明度至關重要。SBOM 闡明瞭軟體元件的內部構成。

快速漏洞檢測。對攻擊面有一個很好的處理。企業收集可能受到攻擊的準確清單。

對資料進行重點保護。保護與客戶資料互動的應用程式至關重要，洩露這些資料可能會對監管處罰和品牌聲譽造成嚴重後果。

在釋出軟體的那一刻起就承擔了風險。

重用程式碼和開源包已經成為保持敏捷性以幫助持續釋出數字產品的必要條件。即使從頭構建一切，仍然會重複使用很多東西。雖然這些工具能夠實現前所未有的速度，但我們不能忽視可能存在於軟體供應鏈中的潛在漏洞。