14 条策略助力企业构建更安全的软件供应链

每个软件都存在供应链,然而现代软件大部分代码都是开源的,这意味着任何人都可以访问和编辑。但是软件平台的安全取决于其最薄弱的环节,安全漏洞可能随时出现,因此技术领导者必须建立监控和保护供应链中每个环节方案和动作。福布斯技术委员会给出应对软件供应链安全的14条明智的策略,为开发者、企业的安全建设带来思考和建议。

承包商在建造建筑物的时候,会按照计划和流程去采购使用预制和预切材料,同样如此,软件程序建立在开发实践和先前编写的代码基础上,其中一些并不是创建软件公司的唯一知识产权。事实上,现代软件大部分代码都是开源的,这意味着任何人都可以访问和编辑。

因此所有软件都有一个供应链,其所有组成部分还包括在其构思、创建、部署和维护过程中发生的一切。安全漏洞随时可能出现,因此技术领导者必须建立监控和保护软件供应链中每个环节的方法。福布斯技术委员会的 14 名成员讨论了建立安全软件供应链的明智策略,以及为何软件供应链安全如此重要。

14 条策略助力企业构建更安全的软件供应链

照片由会员个人提供,图中成员从左至右排列。

1. 在整个价值流中强调安全

安全不能只属于企业的一部分或留到最后再做。安全需要成为战略计划的一部分,并贯穿整个价值流。安全不是在生产之前就可以扫描的东西。告诉您的团队为什么安全需要成为整个流程的一部分,而不仅仅是给他们发布标准。在“为什么”中包括他们。- Laureen Knudsen, Broadcom

2.确保对供应链的可见性

可观察性是必不可少的。如果您不能“看到”您的供应链——无论是通过实际的视觉表示还是数字面包屑路径——您将无法分析它,无法随着时间的推移监控它的健康状况。供应链本来就很复杂,但必须找到分析这些链条的方法,以支持它们的演变和发展,并确保它们的长期生存能力和安全性。- Lewis Wynne-Jones, ThinkData Works

3.建立软件供应链存储和管理系统

大多数组织对开发人员所做的选择及其软件中的依赖项的可见性很差。如果没有所有组件的预先存货清单,当下一个零日事件发生时,他们只能争先恐后地查明它们是否受到影响、受影响的地点以及影响的严重程度。那些拥有库存和管理供应链系统的人能够立即开始补救,从而避免危机。- Brian Fox,Sonatype, Inc.

4. 应用零信任策略

在保护软件供应链时,应用零信任策略是一种有用的缓解措施。这一战略很重要,因为它可以通过公司与其供应商进行的深度合规和信任来评估和检查。- Yair Kuznitsov, anecdotes

5. 根据供应商的 SBOM 制定不同应对计划

软件物料清单或 SBOM 最近受到广泛关注,但 SBOM 只是该过程的第一步。向软件供应商索取 SBOM 清单,可以更了解供应商产品的组成有哪些组件。下一步重要的是围绕已公布的漏洞分析和一套应对计划,并构建流程。- Vincent Berk, Quantum Xchange

6.及时跟进补丁和更新

定期使用安全补丁和更新软件是建立安全软件供应链的一个重要步骤。为确保该程序及其创建者值得信赖,除了部署安全修复程序和升级之外,对他们进行适当的审查和监控也至关重要。- Neelima Mangal,Nutcache

7. 利用 MFA 并任命首席安全官

确保软件供应链流畅的首要任务是制定严密的安全计划。一次违规可能会破坏数月的辛勤工作,并导致您的员工和客户感到沮丧。我建议使用多因素身份验证,并聘请首席安全官来维护和制定您的网络安全策略。- Thomas Griffin, OptinMonster

8. 投资于工程师的教育和发展

十年来,安全一直是一个热门话题。目前已经开发了多种工具、框架和方法来促进安全的软件供应链。然而,尽管取得了进步,但仍然是链条中最薄弱的部分。因此,投资于工程师的教育和发展对于帮助他们提高对新工具、技术和威胁的认识至关重要。- Roman Reznikov , Intellias

9.定期进行离线备份

确保你有备份!云计算是伟大的,至少目前来说。每年审查您的软件服务提供商——尤其是那些提供关键应用程序、销售点或创收系统的提供商。如果存在风险,请确保实施一种方法来定期进行手动离线备份。- Rhonda Dibachi, HeyScottie.com

10. 让网络安全检查成为开发人员工作流的一部分

认真对待 DevSecOps。一种方法是将网络安全工作作为开发人员必须完成的任务之一。是否为设计期间的威胁建模;修复SAST、DAST、SCA工具显示的错误;或者修复通过bug赏金计划发现的漏洞,需要优先考虑网络安全问题,并将其作为工作的一部分。这意味着如果没有完成,那么工作就是不完整的。- Christine Bejerasco,WithSecure

11.实施安全编码和测试实践

实施安全编码和测试实践是确保软件供应链安全的重要步骤,因为它有助于在开发过程的早期识别和缓解安全漏洞,保护整个系统免受攻击。这很重要,因为软件供应链有多个合作伙伴和第三方组件非常复杂。- David Bitton, DoorLoop

12.建立检查清单

了解供应链安全是否有效的最佳方法是建立检查清单。该清单允许每个人成为“医生”,以确保建立安全的软件供应链。以下是我的八个检查点,包括:访问控制、安全存储、加密、安全传输、漏洞管理、定期更新、每日绩效跟踪系统审查和纠正措施。- Chaitra Vedullapalli, Women in Cloud

13.投资安全协作平台

软件平台的安全取决于其最薄弱的环节。随着供应链变得更加全球化,跨不同平台和多个数据集进行协作的需求呈指数级增长。虽然许多公司都采用了基于云的安全平台,但跨供应链的最常见沟通方式是通过电子邮件的方式发送电子表格,通过投资安全协作平台来消除这种需求是至关重要的。- Richard Lebovitz, LeanDNA

14. 审核、跟踪和审查进行中的软件组件

由于软件供应链是安全漏洞最新和最具影响的领域之一,因此确保您的软件构建过程的安全至关重要。最重要的事情是确保您知道正在构建和包含哪些组件的哪些版本,并进行审核、审查和跟踪以确保这些组件符合预期。- Michael Adler, N-able

使用墨菲安全的开源工具帮您快速检测、管理代码安全

开源地址:https://github.com/murphysecurity/?sf=cj2kfn

产品官网:https://murphysec.com/?sf=cj2kfn

一、墨菲安全开源CLI工具

使用CLI工具,在命令行检测指定目录代码的开源组件依赖安全问题

工具地址:https://github.com/murphysecurity/murphysec/?sf=cj2kfn

14 条策略助力企业构建更安全的软件供应链

二、墨菲安全 IDE 插件

在IDE 中即可检测代码依赖的安全问题,并通过准确的修复方案和一键修复功能,快速解决安全问题。

使用方式:

  1. IDE插件中搜索“murphysec”即可安装
  2. 选择“点击开始扫描”,即可检测出代码中存在哪些安全缺陷组件
  3. 点击“一键修复”,即可对检测出来的漏洞进行一键修复
14 条策略助力企业构建更安全的软件供应链

三、GitLab全量代码检测

使用基于墨菲安全CLI的检测工具,快速对您的GitLab上所有项目进行检测

工具地址:https://github.com/murphysecurity/murphysec-gitlab-scanner/?sf=cj2kfn

以上几种检测方式均可在墨菲安全平台上查看详细的检测结果,并可以查看项目的直接或间接依赖信息。

14 条策略助力企业构建更安全的软件供应链

关于墨菲安全

墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司,核心团队来自百度、华为、乌云等企业,公司为客户提供完整的软件供应链安全管理平台,围绕SBOM提供软件全生命周期的安全管理,平台能力包括软件成分分析、源安全管理、容器镜像检测、漏洞情报预警及商业软件供应链准入评估等多个产品。

目前墨菲安全已经服务包括蚂蚁、平安、快手等在内的数百家企业客户。墨非安全为客户提供从供应链资产识别管理、风险检测、安全控制、一键修复的完整控制能力。同时产品可以极低成本的和现有开发流程中的各种工具一键打通,包括 IDE、Gitlab、Bitbucket、Jenkins、Harbor、Nexus 等数十种工具无缝集成。

官网地址:https://www.murphysec.com/?sf=cj2kfn

开源项目:https://github.com/murphysecurity/murphysec/?sf=cj2kfn

原文地址:https://www.forbes.com/sites/forbestechcouncil/2023/02/24/14-smart-strategies-for-establishing-a-secure-software-supply-chain/?sh=142300df443a/?sf=cj2kfn

转载请注明出处。

发布者:墨菲安全,转发请注明出处:https://www.murphysec.com/blog/industry-information/4841.html

(1)
上一篇 2023年2月24日 16:02
下一篇 2023年5月12日 18:27

相关推荐

  • 行业认可|墨菲安全登信息通信软件供应链安全社区优秀榜单

    11月以来信息通信软件供应链安全社区开展了“软件供应链优秀成果案例”征集评审活动,在 12 月 16 日的结果公示中,墨菲安全软件供应链安全管理平台本次成功入选自主研发创新成果。这是对墨菲安全长期专注在软件供应链安全领域的成果认可,我们也将加强行业技术交流分享,持续推出优秀产品和实践成果,助力我国软件供应链安全治理水平的高质量发展。 墨菲安全软件供应链安全管…

    2023年1月9日
  • 墨菲安全入选中关村科学城24个重点项目签约

    6月21日,海淀区举办中关村科学城重点项目签约发布活动。本次活动主要围绕关键核心技术“揭榜挂帅”等3项落实、中关村新一轮先行先试改革措施、2项加速医药健康产业发展措施发布、全国首个临床医学概念验证中心揭牌以及24个中关村科学城重点项目集中签约等内容为主,为全力以赴推动复工复产、用好用足中关村新一轮先行先试改革红利。 海淀区委书记王合生,区委副书记、代区长李俊…

    2023年1月4日
  • 权威认可|墨菲安全获评 CNNVD 技术支撑单位!

    近日,墨菲未来科技(北京)有限公司荣获《国家信息安全漏洞库(CNNVD)技术支撑单位等级证书》,正式成为 CNNVD 技术支撑单位之一。 墨菲安全能够通过国家信息安全漏洞库(CNNVD)的技术支撑能力考查,依托于核心团队具备超过十年的企业安全建设、安全漏洞研究及安全攻防经验,以及长期在漏洞分析研究、安全能力建设上的积累。 未来,墨菲安全将凭借团队漏洞安全研究…

    2023年1月9日
  • Log4j2漏洞背后是全球软件供应链风险面临失控

    前言 Log4j2作为java代码项目中广泛使用的开源日志组件,它的一个严重安全漏洞对于全球的软件供应链生态来讲不亚于一场新冠病毒的影响,任何企业的代码项目沾上它都有可能给企业带来致命的安全风险。 全球新一轮的产业数字化升级对开源软件的依赖日益提升,从而催生开源生态的蓬勃发展,而开源软件的全球化和开放共享的特性使得任何一个非常底层和基础的开源组件的漏洞都有可…

    2023年1月4日
  • 从关键信息基础设施安全保护要求看供应链安全

    近日《信息安全技术 关键信息基础设施安全保护要求》国家标准正式发布,《要求》中更是从管理机制建立、采购管理、网络产品和设备提供者的责任义务与产品及服务的风险控制方面对供应链安全提出了具体要求。 背景 2022年11月7日,GB/T 39204-2022《信息安全技术 关键信息基础设施安全保护要求》国家标准在京发布,作为推荐性标准将于2023年5月1日正式实施…

    2023年1月9日

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注

联系我们

400-180-9568

邮件:hi@murphysec.com

工作时间:周一至周五,10:00-19:00,节假日休息

关注公众号

20230105-100741