解決軟體供應鏈安全問題

在過去幾年裡，我們不斷看到網路攻擊者利用軟體供應鏈中的安全漏洞對組織實施攻擊，軟體供應鏈攻擊並非想象的簡單，鑑於軟體供應鏈是高度複雜的，並且由許多不斷變化的元件組成，惡意行為者可以採取的攻擊途徑很多。

軟體供應鏈攻擊也遠非簡單。鑑於軟體供應鏈高度複雜，並且由許多不斷變化的元件組成，惡意行為者可以採取的途徑很多。例如，軟體構件部分由從開源軟體庫下載的元件組成。考慮到開發人員對這些平臺的使用頻率以及開發組織對它們的信任，這些平臺已經成為一種受歡迎的攻擊途徑。根據GitHub, 85% -97%的企業程式碼庫來自開源儲存庫。在過去的四年裡，npm和PyPI這兩個軟體庫在其平臺上遭受的攻擊數量激增了近300%，影響了全球數千個軟體供應鏈。

鑑於軟體供應鏈攻擊數量顯著增加，組織需要更加努力地瞭解這些攻擊是如何工作的，然後採取措施保護軟體供應鏈不受損害。

多年來，行業一直在推廣“左移”的概念，將應用程式安全性與應用程式開發相結合：將安全開發工具和實踐嵌入到持續整合/持續交付 (CI/CD) 流程中。

保護軟體供應鏈方法

對於希望保護軟體供應鏈安全的企業來說，選擇適當的工具很重要。如使用應用程式安全測試(AST)技術來提高開發安全性，在這裡靜態應用程式安全測試或動態應用程式安全測試(SAST/DAST)等工具是安全開發生命週期(SDLC)的關鍵元件。對於來自第三方庫和開源帶來的潛在風險，軟體組成分析(SCA)等工具可以幫助審查開源元件。

此外，除了保持安全開發及安全的程式碼，一個負責安全性的團隊有助於更好地提高開發流程可見性，檢測與設定基線的偏差，發現更多潛在的安全風險。

現代軟體供應鏈安全計劃應旨在保護整個軟體開發過程，從開發人員 IDE 及其外掛到開源元件、CI/CD 工作流和釋出管道，在軟體供應鏈上的任何一個環節，都應具備發現隱患和確保安全的能力。

來源：

https://devops.com/addressing-software-supply-chain-security/