軟體供應鏈安全問題:企業的挑戰
軟體供應鏈安全一直以來都是企業面臨的重大挑戰。最近由 Frederic Lardinois 提到的 Log4j 漏洞,把軟體供應鏈安全議題推向輿論的焦點,甚至引起了白宮的關注。儘管幾乎所有科技行業的高管都意識到建立一個可信賴和安全的軟體供應鏈的重要性,但大多數企業仍在如何最好地實施相應策略方面掙扎不已。CVE(通用漏洞和公開漏洞)的數量持續穩定增加,幾乎每個容器中都存在一些漏洞。其中一些漏洞可能位於在生產中根本未使用的庫中,但它們仍然存在漏洞。
脆弱性修復目標難以實現
根據 Slim.ai 最新的《容器報告》,現在平均每個組織每月從其供應商部署超過 50 個容器(近 10%的組織部署超過 250 個)。然而只有 12%的安全負責人表示他們能夠實現自己的脆弱性修復目標,其他人則表示他們“極大地”掙扎或者看到有重大改善的空間。
供應商和買家之間的問題
組織與其供應商之間的互動往往仍然是由安全團隊之間的零散會議和表格交換驅動。根據該公司的報告,75%的組織仍然透過電子表格交換訊息,即使幾乎所有安全負責人(84%)希望看到一個集中的協作平臺來管理漏洞。然而當前似乎電子表格的來回仍然是最先進的操作方式。
效率低下和開發過程的放緩
所有這些不可避免地導致低效率。大多陣列織表示他們有六個或更多專家專注於脆弱性修復。更甚的是,超過 40%的警報被證實是錯誤警報,這讓問題更加突出。受影響的團隊要處理的警報中很多都是那些可能屬於容器一部分但在生產中未使用的庫的錯誤警報。由於這個問題,建議建立最小化的容器影象成為一種最佳實踐,因為這樣可以減少攻擊面積和降低錯誤警報。而不僅僅是安全團隊需要處理這些漏洞,這些工作也對整個開發過程產生了影響。大多數公司每周多次因為在生產容器中檢測到漏洞而產生干擾。所有這一切都意味著更多的工作、更多的中斷和更多的努力用於與供應商合作解決問題。
建議
對於企業而言,維持良好的軟體供應鏈安全至關重要。利用現代科技,建立一個集中協作平臺來管理漏洞可能是一個不錯的開始。同時企業可以考慮採用最小化的容器影象,減少未使用庫的存在以及進一步減少可能的錯誤警報。
除了技術上的改進,供應商和買家之間的溝通和合作也應該得到改善,並且需要建立更加透明和高效的訊息交換機制。這樣才能更好地應對軟體供應鏈安全所帶來的挑戰。
