确保软件供应链安全的五个步骤

关键要点

旧金山 虽然没有完美的安全保障，但安全团队可以采取至少五个步骤，更有效地保护其供应链。

JP Morgan Chase的安全工程高级主任Rao Lakkakula在4月24日的RSA会议上提出了确保软件供应链安全的五步方针。他指出，过去三年行业内发生了多个重大供应链事件，从2020年的SolarWinds事件开始，2021年的Log4Shell事件以及最近针对电信设备的3CX案例。这些事件层出不穷，Gartner预测到2025年，全球45的组织将经历软件供应链攻击，这一数字是2021年的三倍。

“与过去的软件代码漏洞不同，现今的攻击更具有恶意。” Lakkakula表示，“在很多情况下，它们针对的是供应商的供应链，并注入恶意代码。”

点击这里获取SC Media对2023 RSA大会的所有报道

在他的讲话中，Lakkakula提供了以下五个步骤，供安全团队考虑：

了解公司的软件流程。 安全团队需要识别企业内部软件的入口点。不论是开源软件、供应商软件或是第三方开发的软件，安全团队必须对所有软件进行分类，并了解其来源。

监控软件输入流程。 验证供应商源代码和开源与闭源组件的依赖项的安全性。首先应扫描代码以查找已知漏洞。安全团队还应考虑来自较少供应商的高质量代码源版本，这样在发生Log4Shell等事件时，可以降低由于难以删除大量有漏洞软件包导致的风险。

建立全面的软件材料清单。 在建立资产清单时，务必开发出公司的资产完整地图。这包括所有应用程序、依赖项、软件的部署位置以及软件的来源。

保护内部CI/CD管道。 保护源代码仓库和公司的账单系统。安全团队需要关注代码源的完整性、软件开发方式以及其部署方式。

自动化漏洞监测。 持续监测新漏洞，以修补已部署软件。安全团队可以利用他们在创建软件材料清单SBOM时开发的资产地图。

Lakkakula承认，各家公司都有所不同，这些步骤可能会令一些团队感到不知所措。他表示，安全团队并不孤单，还有许多组织可以帮助解决这些复杂的供应链问题。安全专业人士可以从以下资源入手：