構建安全程式碼 防止供應鏈攻擊
在SolarWinds公司遭受大規模網路攻擊一年多之後,被攻擊的公司繼續受到其聲譽和財務損失的影響。此外,全球軟體供應鏈仍然容易受到嚴重的攻擊。
沒有人知道 SolarWinds 攻擊單獨建立了多少潛在的後門,這可能允許惡意行為者在看似無限數量的網路上持續存在;我們也不知道下一次攻擊何時會發生並可能帶來更可怕的後果。例如,在發現 Log4j 漏洞及其相關補丁六個月後,世界各地的網路和產品仍然存在沒有打補丁、易受攻擊並且可以在各種大小公司中被利用。
改變這種狀況,意味著開發人員、運營人員和DevOps 團隊應該開始構建更安全的程式碼。這也意味著使用雲服務、第三方軟體或供應商同時也應該更清楚地瞭解到程式碼的安全性。增加對底層技術本身的關注不會完全防止攻擊,但可以減少被攻擊的次數。
超越開原始碼
一個經常被推薦的解決方案是轉向開源軟體(OSS)。雖然開原始碼仍然容易受到攻擊,但建立OSS程式碼所涉及的過程和實踐是透明的,這大大削弱了不良行為者隱藏自己的能力。但這種方法不適合在私營部門大規模使用,因為無法阻止程式設計師簡單地複製他人的新程式碼,也無法保護軟體開發人員的智慧財產權。
還有其他一些方式同樣有效,包括將安全功能和測試整合到開發工具和流程中。例如,將靜態程式碼安全檢測和黑盒滲透測試等作為軟體生產過程的常規部分,將在協助開發人員和安全人員發現程式碼中漏洞方面發揮很大的作用。理想情況下,開發人員可以及時修復這些缺陷。此外,在開發過程的每一步評估安全性可以在漏洞被惡意行為者發現之前對其進行修復或打補丁。
程式碼簽名和掃描創新
透過其他方式發現程式碼(包括開原始碼)中的安全漏洞也有助於提高安全性。透過使用程式碼簽名等創新技術可以提醒開發人員在使用程式碼之前是否對程式碼進行了任何更改,從而有助於在程式碼實施到產品中之前發現駭客或後門。此外,對開發人員進行培訓,構建具有安全生命週期的產品,並實現用於合併和訪問產品程式碼的安全協議,可以防止由於SDLC過程錯誤(或不存在)而發生的網路攻擊。
首席資訊保安官的積極作用
CISO 和 IT 專業人員也可以發揮積極作用。他們需要評估其產品底層程式碼的安全性,充分利用軟體材料清單(SBOM),其中列出了軟體的所有元件,但這只是一方面。這需要與程式碼簽名、缺陷掃描和更新元件列表等措施相結合,以發現庫和框架中新發布的弱點和漏洞。確保與軟體服務提供商簽訂的合同規定他們遵守安全的開發實踐變得越來越重要。
隨著全球對網路安全的高度重視,對於企業來說現在是專注於構建更安全程式碼的時候。但並不意味著網路安全的所有其他方面包括威脅情報、事件響應計劃等不那麼重要。但是,如果軟體底層的程式碼本身能夠變得更加安全,這些攻擊的數量就會減少,也會降低網路攻擊造成的影響。
文章來源:
https://devops.com/to-prevent-supply-chain-attacks-build-secure-code/
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/70000012/viewspace-2906468/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 為什麼必須防止供應鏈攻擊?
- SolarWinds供應鏈攻擊事件分析事件
- 今年供應鏈攻擊增加了600%以上
- 保護開原始碼供應鏈或可有助於防止下一次大型網路攻擊原始碼
- 利用可信的IT供應鏈供應商作為切入點 黑客逐漸瞄準供應鏈攻擊黑客
- 供應鏈攻擊是什麼?應該如何處理?
- 供應鏈攻擊和關鍵基礎設施
- Mybatis如何防止SQL隱碼攻擊MyBatisSQL
- 1.5TB航空供應商資料洩露背後,竟是供應鏈攻擊的持續“加碼”?
- 攻擊JavaWeb應用————6、程式架構與程式碼審計JavaWeb架構
- 攻擊JavaWeb應用[6]-程式架構與程式碼審計JavaWeb架構
- 「白嫖」開源的後果就是供應鏈攻擊麼?| 編碼人聲
- 供應鏈攻擊呈上升趨勢的5個原因
- 5 種方法,教你如何防禦供應鏈網路攻擊
- Nginx防止DDOS攻擊Nginx
- 如何防止XSS攻擊
- Spring中防止跨站指令碼 (XSS)攻擊Spring指令碼
- 網站如何防止攻擊網站
- 安全行業中供應鏈攻擊是什麼?有哪些型別?行業型別
- 下一代供應鏈攻擊需要新的安全策略
- Akamai:65.1%的Web應用程式攻擊來自SQL隱碼攻擊AIWebSQL
- 攻擊者使用SQLite資料庫中的惡意程式碼攻擊應用程式SQLite資料庫
- 前端實現csrf防止攻擊前端
- 洞見RSA 2021|備受熱捧的“供應鏈攻擊”如何防禦?
- 在Linux中,如何檢測和防止SQL隱碼攻擊和跨站指令碼(XSS)攻擊?LinuxSQL指令碼
- 防止web專案中的SQL隱碼攻擊MUHEWebSQL
- 攻擊JavaWeb應用[4]-SQL隱碼攻擊[2]JavaWebSQL
- 攻擊JavaWeb應用[3]-SQL隱碼攻擊[1]JavaWebSQL
- 跨境電商供應鏈平臺方案,提供全鏈條的跨境供應鏈服務
- 網站伺服器如何防止被攻擊?指令碼程式升級很重要!網站伺服器指令碼
- 【供應鏈】供應鏈的底牌
- Web安全防範-----防止重放攻擊Web
- 聚合供應鏈管理系統開發結構(電商供應鏈)
- 如何防止SQL隱碼攻擊?網路安全防禦方法SQL
- 報告稱超6成Web應用程式攻擊來自SQL隱碼攻擊WebSQL
- 供應鏈競爭的背後:全鏈協同
- 跨境供應鏈管理系統,積加ERP供應鏈全閉環解決方案
- 怎樣防止網站被攻擊 DEDECMS程式碼的加固安全解決方案網站