在 SolarWinds 和 CodeCov 等攻擊之後,軟體供應鍊安全和防止軟體篡改(未經授權的惡意軟體修改)已成為安全團隊的首要任務。随着軟體開發團隊面臨比以往更快地傳遞的壓力,軟體團隊正在利用開源和第三方軟體來應對大量的傳遞和服務。與此同時,“安全左移”成為軟體工程師的必備實踐。
軟體供應鍊的延長,大大增加了網絡犯罪分子可利用的攻擊面。如今,軟體發行商不僅擔心是否能按時傳遞功能,還要擔心他們的軟體可能會在下一次 SolarWinds 式攻擊中成為目标。
那麼問題來了,軟體公司對供應鍊威脅的意識如何呢?采取哪些措施來阻止此類攻擊?為了回答這些問題,ReversingLabs 對300多名專業人士進行了問卷調查。結果顯示,人們對軟體篡改和軟體供應鍊攻擊的威脅深表擔憂。調查結果還強調了軟體公司在試圖檢測和阻止軟體開發過程中的攻擊時面臨的障礙和挑戰。
開發團隊面臨的問題
調查結果顯示,對于像 SolarWinds 和 CodeCov 這樣的軟體供應鍊攻擊,大多開發團隊還是有所意識和戒備的。98%的受訪者表示,他們認為開源代碼,第三方軟體的使用以及軟體篡改的威脅正在直接增加他們的安全風險。87%的受訪者認識到軟體篡改可能導緻其組織的安全漏洞。
當受訪者被問及什麼對其組織構成最大的網絡安全風險時,開源存儲庫構成的威脅僅次于作業系統和應用程式中的軟體漏洞,63%的調查對象表示開源對其組織構成風險。同時,51%的受訪者表示無法檢測軟體篡改對他們的組織構成了風險。
開發團隊尚未準備好阻止軟體篡改
調查顯示,雖然所有軟體專業人員都明白對其組織構成的風險是嚴峻的,但他們還沒有做好防禦此類威脅的準備。例如,隻有51%的受訪者表示,他們所在的公司在使用開源、商業解決方案和合作夥伴軟體時可以保護其軟體免受第三方風險的影響。而在網絡犯罪分子越來越多地利用軟體依賴性的威脅環境中,這個資料令人擔憂。當人們考慮到對第三方和開源軟體的依賴隻會繼續增長時,就更令人擔憂了。
調查還顯示,隻有37%的軟體公司表示他們有辦法檢測整個供應鍊中的軟體篡改。而在那些聲稱能夠檢測到篡改的人中,僅僅7%的公司在軟體開發生命周期的每個階段都做到了這一點,但是當應用程式最終完成并部署,隻有三分之一的人實際檢查了篡改。無法全面檢測篡改,再加上普遍釋出的軟體存在漏洞,創造了一個不斷增長的新攻擊媒介。
代碼安全在軟體開發優先級中仍靠後
在每個易受攻擊的應用程式背後,第三方插件或開源子產品都是不安全的代碼。而這種不安全的代碼通常是開發團隊的産物,在這些組織中,安全開發過程尚未站穩腳跟,或者代碼安全是次要(或三級)優先事項。
根據調查結果,其中54%的受訪者表示他們的組織釋出的軟體存在潛在的安全風險。已釋出代碼中的軟體漏洞已經不是例外:37%的受訪者表示,他們所在的公司每月或更頻繁地釋出被發現包含安全漏洞的軟體。63%的受訪者表示,他們的組織至少每季度釋出一次軟體。
![“雲管邊端”協同的邊緣計算安全防護解決方案0 引 言1 5G 及邊緣計算2 邊緣計算面臨的風險3 “雲管邊端”安全防護技術4 “雲管邊端”安全防護實踐5 結 語[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)