重保季 供应链攻击持续高发腾讯软件供平博应链安全方案一键护航
全球互联数字供应链时代下,软件已经渗透到我们工作和生活的方方面面,与各个领域紧密衔接。软件开发和生产也从传统的封闭、单一模式转变为现代的分布式、多样化模式,形成“软件供应链”。然而,软件供应链安全市场在蓬勃发展的同时,也逐步趋于复杂化和多样化,其安全风险不断加剧,引发全球的担忧。
尤其在重保场景下,攻击者可以利用软件供应链其中的一个弱点或者漏洞,突破边界防线,直接导致核心业务应用被攻破和重要数字资产的丢失,这种渗透内部获取机密或者植入恶意代码引起的破防比例极高。
此前爆发的SolarWinds、Log4j、Microsoft和Okta等多个软件供应链攻击事件对企业造成严重的冲击,也对全球经济构成显著威胁。Gartner报告指出,恶意代码注入威胁次数的增加使得保护内部代码及外部依赖项(开源和商业软件)变得越发重要,到2025年全球45%组织机构的软件供应链将遭到攻击,这个数据将会是2021年的三倍。
企业使用的软件因软件供应链漏洞易被攻陷软件工程包含开源组件、开源代码存在风险
截至 2023 年 9 月,Sonatype《软件供应链状况》报告显示,研究团队共发现了 245,032 个恶意软件包,是往年总和的 2 倍。八分之一的开源下载存在已知风险,且仍有 23% 的 Log4j 下载存在严重漏洞。可见,大多数企业在业务上线前,是无法提前感知研发流水线中开源组件/代码的安全问题。在软件应用生命周期里,修复漏洞的成本随着发现漏洞阶段的进程呈几何级数增长,传统的漏洞检测方法通常只能在业务系统开发完成后才能介入,这导致漏洞的修复成本高昂,甚至很多漏洞在安全事件发生后才会被发现及修正。
重保响应中,企业往往难以迅速定位哪些业务应用程序中包含0Day漏洞或供应链中的恶意组件,而供应链投毒则涉及到在软件或硬件的供应链中植入恶意代码,这样的行为可能在产品分发之前就已经发生,使得传统的安全措施难以发现。
与过去相比,现代网络系统环境变得更加复杂,许多组织现在依赖于智能化、云服务和开源技术。业务运营涉及众多参与者,使得供应链管理变得更加复杂。随着越来越多的第三方外包公司参与到供应链中,供应链的链条变得更长。任何环节的数据泄露、恶意代码注入或服务中断都可能对整个供应链造成严重破坏,企业核心业务因此破防。鉴于软件供应链安全问题涉及到层面过于复杂,有来自开源组件使用问题,典型如log4j组件漏洞、xz组件漏洞,有上游的管理权限问题,也有自身代码问题等,这条链子上但凡哪一环节出现问题,都会危害整个链路安全。因此,如何一键护航软件供应链,快准狠确保使用的组件安全,成为安全厂商的重要课题。
将安全插件集成到软件开发生命周期(SDLC)和研发流程中,推动“安全左移”策略的实施。在发布前对发布包进行安全检查,以保证软件的安全性和合规性,确保发布流程中的关键安全检查点得到有效建立。
主动扫描软件供应链中使用的第三方组件和开源软件,监控整个供应链的安全性。将不同供应商的系统和应用集成后,进行统一的安全测试,厘清责任归属,实现精确的漏洞扫描,并提供专业的漏洞修复方案。
支持对密钥、设备、通用敏感信息等多个敏感项的检查,并对系统中的网络、服务、文件、进程、权限等进行安全审计,以降低信息泄露和非法利用的风险。
通过实现函数级别的分析,主动评估合规风险,确保软件供应链的每个环节都满足可追溯性和完整性的要求。利用软件物料清单(SBOM)提高软件的透明度,有效识别易受攻击的组件,从而增强快速响应能力。
事实上,软件供应链问题涉及人员素质、操作流程及安全意识等多个维度,并非仅是技术层面的问题。面对软件开发流程中的供应链安全威胁,需要将软件供应链安全风险与软件开发生命周期(SDLC)紧密结合起来考虑,确保安全实践与开发流程紧密结合。
腾讯软件供应链方案覆盖SDLC全流程上线,强调始终使用安全组件的重要性,以确保风险能够第一时间得到控制。它包括建立软件安全准入体系、开发运营风险管控和合规、风险与隐私管控三大方面,以及软件准入、开源管理、软件依赖、漏洞管理、版本管理、来源管理和威胁情报等七个关键环节,从代码托管、代码编写、单元测试、构建部署、集成测试、制品管理和持续部署等整链环环相扣,为软件供应链运行保驾护航,是企业的等保合规利器。
全球互联数字供应链时代下,软件已经渗透到我们工作和生活的方方面面,与各个领域紧密衔接。软件开发和...
2024年6月17日,由上海联合丽格与 LG公司主办的,上海联合丽格LG诗如萱玻尿酸注射研讨会成功举办。会...
6月14日,2024潮起共生上海电影合作伙伴大会在上海影城SHO隆重举行。上影元合作伙伴康师傅等知名品牌...
今年是第23个全国安全生产月,为深入贯彻关于安全生产的重要指示批示精神,切实抓好公司安全生产工作,...
在繁忙的都市生活中,家长们常常为孩子的教育和成长感到忧心忡忡。尤其是在数字化浪潮的冲击下,手机和...
6月中旬,广东省梅州市连日遭遇强降雨极端天气,导致多地发生洪涝灾害,交通严重受阻、通讯中断,形成断...
通过车静老师和陶玥彤老师两个小时的直播,6月19日汝州活动结束,共有341个客户成功下单,合计售出券461...
6月22日至23日,林俊杰携JJ20巡演唱响哈尔滨,时隔五年再回冰城开唱,两晚超八万歌迷风雨无阻、齐聚哈尔...
在母婴行业竞争日益激烈的今天,如何突破传统营销模式,创造与众不同的品牌体验,已成为各大品牌关注的...
目前我们更应强调理性救助,目标是成为一个有爱、洁净、安全、舒适的流浪动物中转站,让...
扫一扫关注微信公众帐号
