Account 登录
快速跳转

什么是软件供应链安全防护?

复制 URL

软件供应链安全防护将风险管理与网络安全最佳实践相结合,从而帮助保护软件供应链,抵御潜在漏洞。软件供应链涵盖了从应用开发到 CI/CD 管道和部署的整个过程,涉及软件开发生命周期(SDLC)中与代码接触的所有对象和所有人。 

软件供应链包括有关软件的信息网络,比如组件(例如基础架构、硬件、操作系统(OS)、云服务等)、软件编写人员,以及软件的来源,比如注册表、GitHub 存储库、代码库或其他开源项目。它也可能含有会对软件安全性造成负面影响的任何漏洞,而软件供应链安全防护的目的,就是预防和应对漏洞带来的影响。  

 

如今,大多数软件不再是完全从头开始编写,而通常是将各种包含了开源软件的软件工件组合到一起。但是,这些软件工件很容易存在漏洞,并且随着时间推移,开发人员会愈发难以控制来自第三方的源代码,或者无法对软件工件进行更改。值得注意的是,未安装补丁的软件更容易遇到安全问题。由于软件对于执行日常业务运维必不可少,因此供应链安全防护是每个企业和安全团队的重要责任。

2020 年,软件公司 SolarWinds 遭到入侵,攻击者通过 SolarWinds 使用的 Orion IT 监控和管理软件发布恶意代码,而 Orion IT 软件是很多大型企业和政府机构都在使用的平台。通过攻击供应链,黑客不仅入侵了 SolarWinds,也入侵了他们的客户。Log4j 是一款常用的开源软件,但它也常常被不法分子盯上,导致无数用户和企业容易遭受数据泄露和攻击。2021 年,美国总统针对供应链网络安全通过了 2 项行政令,此举也强调了软件供应链和安全防护的重要性。

软件供应链中任何组件的风险,都会对依赖该供应链组件的每个软件工件构成潜在风险。这会为黑客提供可乘之机,使他们能够植入恶意软件、后门程序或其他恶意代码,从而危害组件及其相关供应链。如今,软件供应链攻击日益猖獗,其幕后既有试图牟利的黑客,也有谋求政治企图的国家级黑客,无论哪一种,都可能会在数字和现实世界产生巨大影响。攻击通常会带来以下四种类型的风险:

  • 漏洞:软件代码中的缺陷,可能会被加以利用,从而导致数据泄露。安装补丁并更新软件工件,可以最大限度减少该风险。
  • 许可:它是一种法律风险,可迫使您将产生的任何软件工件变成开源,使专利权无效。请咨询该领域的法律专家。
  • 第三方依赖:很难知晓软件供应链其中某部分是否对任何外部组织有任何依赖项。应分析所有第三方代码,并与您的供应商谈谈他们的保护措施。
  • 流程和策略:如果您没有合适的安全防护流程和策略,就可能会陷入困境。为开发人员制定相应策略和漏洞应对流程(或 playbook)。

常见的攻击途径包括劫持更新、破坏代码签名和开源代码。 

DevSecOps 是对企业文化、业务自动化和软件设计等方面进行全方位变革,将安全作为整个 IT 生命周期的共同责任。DevSecOps 意味着从一开始就要考虑应用和基础架构的安全防护;同时还要让某些安全网关实现自动化,以防止 DevOps 工作流程变慢。选择合适的工具来持续集成安全防护(比如在集成开发环境(IDE)中集成安全防护功能)有助于实现这些目标。

软件供应链涉及与您的代码接触的所有对象和所有人,而应用安全防护则只保护代码本身免遭攻击和漏洞。与软件供应链安全防护一样,应用安全防护应该应用于开发的每个步骤。 

应用安全防护始于软件开发生命周期,并覆盖整个应用生命周期,旨在防止未经授权访问系统并保护专有数据。而加强供应链完整性可提高应用的安全。强化配置、最大限度减少攻击面、限制权限、签署软件、将构建分布到系统的不同部分,这些都是避免攻击者入侵应用的有效方式。 

对于您的企业、客户以及依赖开源贡献的任何机构,软件供应链安全防护都十分重要。没有谁希望遭到入侵,也没有谁愿意为中招的其他组织负责。因此,防患于未然,为软件供应链实施保护就是关键。  

下方我们为您罗列了一些安全团队应考虑的安全防护最佳实践:

  • 为供应链中的资源(如开发人员工具、源代码存储库和其他软件系统)提供最小权限访问,启用多重身份验证,使用强密码。
  • 定期为员工提供安全培训。
  • 加强您所有联网的设备和敏感数据的安全防护。
  • 从一级供应商开始,了解您的供应商以及有业务往来的对象,对他们开展风险评估,以便评估每个供应商的网络安全态势和有关漏洞的公共策略。
  • 定期扫描和修补易受攻击的系统。

开发人员还应该考虑安全编码实践、使用锁定文件及其他安全措施:

  • 验证校验和。
  • 将供应商依赖纳入源代码控制中。
  • 发布并使用软件物料清单(SBOM)。
  • 采纳针对软件工件的供应量链等级(SLSA),其中包括:
    • 能够以数字方式签署您的软件工件,从而验证出处。
    • 为您的流程和策略应用自动化。
  • 使用软件组成分析(SCA)、静态应用安全测试(SAST)和动态应用安全测试(DAST)等自动安全测试工具扫描您的软件。

红帽了解开源,了解保护软件供应链的重要性。红帽深度参与上游社区,持续开发优秀的新软件,与社区保持着相互信赖的良好关系。红帽能代您参与上游供应链的工作,并为您提供可靠的产品和 24/7 支持服务。如果您在软件供应链和 SDLC 方面需要帮助,红帽开放创新实验室红帽服务可助您一臂之力。  

继续阅读

文章

什么是 DevSecOps?

如果您想要充分发挥出 DevOps 的敏捷性和响应力,则必须在应用的整个生命周期内兼顾 IT 安全性。

文章

云安全有何不同之处

一些重大安全问题同时影响着传统 IT 和云系统。了解它们的不同之处。

文章

什么是 SOAR?

SOAR 指的是安全团队所使用的 3 大软件功能:案例和工作流管理、任务自动化,以及集中式管理访问、查询和共享威胁情报。

详细了解安全防护

Illustration - mail

获取更多类似的内容

免费订阅我们的 Red Hat Shares 通讯邮件

Red Hat logo LinkedInYouTubeFacebookTwitter

产品

工具

试用购买与出售

沟通

关于红帽

我们是世界领先的企业开源解决方案供应商,提供包括 Linux、云、容器和 Kubernetes。我们致力于提供经过安全强化的解决方案,从核心数据中心到网络边缘,让企业能够更轻松地跨平台和环境运营。

订阅我们的新闻稿 Red Hat Shares

立即注册

选择语言

© 2022 Red Hat, Inc. 京ICP备09066747号