软件供应链安全处于起步阶段
软件公司 ActiveState 做了一项关于开源软件供应链安全的调研,其中包括开源组件的安全性,以及关键软件开发流程的安全性和完整性。结果表明,软件供应链安全仍处于起步阶段。
保护软件供应链安全包括漏洞补救以及在整个软件开发过程中实施控制措施。关键开发流程包括:
- 导入 – 将第三方工具、库、代码片段、包和其他软件资源引入组织的过程是否安全?
- 构建 – 组织从源代码组装和构建开源工件的过程是否安全?
- 运行 – 组织在开发、测试和生产环境中处理、测试和运行构建工件的过程是否安全?
该调查收到了来自全球各规模组织共1500多名开发人员、安全专业人员和开源领导者的回复,调查结果显示软件行业供应链安全目前仍然处于起步阶段。值得关注的是,有32%的企业将源代码存放在开源代码库中,他们无法为其提供的软件安全性和完整性提供任何保障,构建可重复性水平低,因此源代码构建的任何内容安全性令人担忧。
软件供应链安全仍是企业痛点
同时 Venafi 对来自全球不同企业的1000位 CIO 进行调研,其中82%的人表示他们的组织容易受到针对软件供应链的网络攻击。
云原生开发以及采用 DevOps 流程带来高效开发,使得软件供应链安全挑战变得更加复杂。与此同时,受到 SolarWinds 和 Kaseya 此类大型攻击事件的影响,攻击者正在加紧对软件构建和分发环境展开攻击。在过去的一年中,这些攻击的数量激增,复杂性更是空前,软件供应链攻击可能导致的严重业务中断、收入损失、数据盗窃和客户利益损害。因此,软件供应链安全开始受到 CEO 们及其董事会的高度关注,也成为人们关注的焦点。
主要调研结果:
- 87% 的 CIO 认为,软件工程师和开发人员在安全策略和控制方面让步和妥协,以便更快地将新产品和服务推向市场。
- 85%的 CIO 表示董事会或 CEO 特别强调要加强软件构建和分发环境的安全性。
- 84%的受访者表示,用于软件开发环境安全性的预算在过去一年中有所增加。
在数字化转型的大背景下,各个企业相继开始进行软件开发工作。因此,软件开发环境已成为恶意攻击者的巨大目标。黑客发现,对软件供应链的攻击,尤其是针对机器身份的攻击,能给黑客带来巨大利益。
在这些类型的攻击中,破坏开发环境的方法已达数十种,包括利用 Log4j 等开源软件组件进行攻击。令人担忧的是开发人员目前专注与创新和开发速度,而不是安全性,而安全团队缺乏充沛的知识和资源来帮助开发团队处理和解决安全问题。
超过90%的软件应用程序使用开源组件,与开源软件相关的依赖关系和漏洞极其复杂。 CI/CD 和 DevOps 流水线的结构能够提高开发人员的开发效率,但不意味着更加安全。在推动更快创新的过程中,开源的复杂性和开发速度限制了软件供应链安全控制的有效性。
CIO 们的安全意识觉醒
此外调查结果还显示,CIO 们已经开始意识到他们需要提高软件供应链的安全性:
- 68%的企业正在实施更多的安全控制
- 57%的企业正在更新其审核流程
- 56%的企业正在扩大对代码签名的使用,这是软件供应链的关键安全控制。
- 47%的企业正在研究他们的开源库的来源
虽然企业开始重视软件供应链安全,但仍然很难确定风险的确切位置,哪些改进提供了最大的安全性提升,以及这些变化如何随着时间的推移降低风险。可能我们无法使用现有方法解决这些问题,但我们需要以不同的方式思考我们正在构建和使用的代码的身份和完整性,从而在开发过程的每一步有效且高效的保护软件安全。