解决软件供应链安全问题

在过去几年里，我们不断看到网络攻击者利用软件供应链中的安全漏洞对组织实施攻击，软件供应链攻击并非想象的简单，鉴于软件供应链是高度复杂的，并且由许多不断变化的组件组成，恶意行为者可以采取的攻击途径很多。

软件供应链攻击也远非简单。鉴于软件供应链高度复杂，并且由许多不断变化的组件组成，恶意行为者可以采取的途径很多。例如，软件构件部分由从开源软件库下载的组件组成。考虑到开发人员对这些平台的使用频率以及开发组织对它们的信任，这些平台已经成为一种受欢迎的攻击途径。根据GitHub, 85% -97%的企业代码库来自开源存储库。在过去的四年里，npm和PyPI这两个软件库在其平台上遭受的攻击数量激增了近300%，影响了全球数千个软件供应链。

鉴于软件供应链攻击数量显著增加，组织需要更加努力地了解这些攻击是如何工作的，然后采取措施保护软件供应链不受损害。

多年来，行业一直在推广“左移”的概念，将应用程序安全性与应用程序开发相结合：将安全开发工具和实践嵌入到持续集成/持续交付 (CI/CD) 流程中。

保护软件供应链方法

对于希望保护软件供应链安全的企业来说，选择适当的工具很重要。如使用应用程序安全测试(AST)技术来提高开发安全性，在这里静态应用程序安全测试或动态应用程序安全测试(SAST/DAST)等工具是安全开发生命周期(SDLC)的关键组件。对于来自第三方库和开源带来的潜在风险，软件组成分析(SCA)等工具可以帮助审查开源组件。

此外，除了保持安全开发及安全的代码，一个负责安全性的团队有助于更好地提高开发流程可见性，检测与设定基线的偏差，发现更多潜在的安全风险。

现代软件供应链安全计划应旨在保护整个软件开发过程，从开发人员 IDE 及其插件到开源组件、CI/CD 工作流和发布管道，在软件供应链上的任何一个环节，都应具备发现隐患和确保安全的能力。

来源：

https://devops.com/addressing-software-supply-chain-security/