當前,應用軟件大多數基于開源的框架,開源框架的源代碼、疊加的自研源代碼。都需要進行安全漏洞測試。企業的軟件開發比以往任何時候都更加依賴開源項目,也因此需要管理組件和第三方供應商中的漏洞帶來的風險。
FORRESTER安全與風險會議分析師在Forrester安全與風險2021會議上建議,公司需要采取措施將供應鏈中第三方軟件帶來的風險降至最低。在過去幾年里,供應鏈攻擊已顯著增長。
開源軟件漏洞引發安全問題
隨著外部攻擊越來越多地通過第三方軟件中的漏洞(例如開源項目或第三方供應商的漏洞)引發擔憂。
根據Forrester對530個安全決策的調查,超過三分之一 (35%) 的外部攻擊是通過利用漏洞進行的,而另外三分之一 (33%) 來自對第三方服務或軟件制造商提供的軟件漏洞進行破壞。由此可見,在軟件開發期間加強對代碼中安全漏洞的檢測及修復,可以大大有效避免漏洞利用引起的網絡攻擊。
Forrester高級分析師Alla Valente表示,如果公司不采取措施解決這個問題,第三方風險的增長可能會破壞企業應用程序的安全性。
她表示,我們面臨很多第三方風險,而且還在不斷升級。部分原因是當前第三方的數量比以往任何時候都多。
安全法規促使企業重視軟件安全
隨著全球不同國家政府機構開始起草安全軟件指南,這個問題將在2022年變得更加重要。
例如,拜登政府在5月簽署了一項行政命令,要求國家標準與技術研究所(NIST)為聯邦承包商起草指導方針,以更好地保護軟件安全。這些指導方針包括為政府的產品提供軟件材料清單,并證明開發人員構建環境的安全性。NIST已經制定了保護物聯網設備和軟件安全的指導原則草案。
我國的《關鍵基礎設施保護條例》、《數據安全法》、等保2.0等政策也明確表示了在軟件安全、數據安全等各個方面企業應準備的工作和承擔的相應責任。
開源軟件包漏洞難確定
“大多數開發人員只是連接到一個存儲庫,然后下載他們正在使用的任何軟件包的最新軟件版本,但這些軟件包是否存在漏洞,或者每個人是否都在使用相同的版本?” Forrester首席分析師Condo表示,如果不關注此類問題,公司只是在推遲安全問題。
開源軟件的不一致性質仍然是一個關鍵問題。雖然主要的軟件包通常管理良好,但許多企業最終使用的包(通常是通過更常見的組件的依賴關系)管理得不太好,可能存在漏洞。
盡管開源軟件項目平均修復漏洞的時間顯著下降(從2011年的371天下降到2021年的28天),但主要生態系統托管的軟件包數量顯著增長,根據軟件安全公司Sonatype發布的一份報告,去年增長了20%。
Condo表示,公司需要深入研究在軟件開發中所依賴的軟件包,并確定它們是否構成安全問題。他說:“了解你真正依賴的是什么真的很重要。哪里是最薄弱的環節,這些問題會在哪里出現,我們應該使用專有包或策劃好的東西。”
AI/ML因素
隨著越來越多的企業追求基于人工智能和機器學習(AI/ML)的分析,他們也面臨著類似的問題。AI/ML代表了開源問題的一個特定方面,因為開源項目中編碼了大量的算法。分析師Valente表示,企業應確定這些組件是否對其業務構成風險。
“組織正在利用人工智能和機器學習,問題不在于他們是否會使用人工智能和機器學習,而是他們是否會購買或構建它,”Valent表示。“如果他們打算購買ML或AI模型,在很多情況下它是開源的,甚至商業軟件也有75%到90%是開源的。”
提前發現問題降低成本
企業需要在軟件開發的早期關注安全問題。Condo表示,確定開源依賴項帶來安全問題并將其排除在外,比試圖在部署后關閉軟件中發現的安全問題要便宜得多。
同樣要注意的是,在自研代碼中存在的安全漏洞一樣需要及時檢測靜態代碼安全和修正缺陷。數據顯示,在軟件測試、發布階段糾正缺陷的成本是編碼階段發現并糾正缺陷的成本的15-90倍,如果在交付用戶之后才發現并解決缺陷,這個數字將達到50-200倍。因此,在編碼實現階段發現并解決盡可能多的缺陷,能夠極大降低缺陷管理成本,據相關統計數字估計,這個成本至少可以降低1/3。
Condo表示,在軟件開發初期不夠關注靜態代碼及開源組件的安全,就會制造更多的技術債務和安全問題,將不得不以更昂貴的方式處理下游問題。安全應該成為整個軟件開發鏈的一部分,諸如如何更安全的開發軟件、保護API安全和數據安全,并建立安全相應機制。
參讀鏈接:
文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。
轉載請注明本文地址:http://m.specialneedsforspecialkids.com/yun/123750.html
