開源代碼在應(yīng)用程序中變得越來越普遍，隨著開源軟件包數(shù)量不斷增加，不安全的組件越來越多地進(jìn)入世界各地的軟件供應(yīng)鏈。于是乎，保護(hù)軟件供應(yīng)鏈的需求逐步增長，但企業(yè)應(yīng)注意到在實施解決方案來管理風(fēng)險時所犯的常見錯誤。日前，Sonatype發(fā)布了《The Top 10 Mistakes when Implementing a Secure Software Supply Chain Solution》（以下簡稱“《報告》”），為我們闡述了實施軟件供應(yīng)鏈安全解決方案時的十大常見錯誤。

　　01、不關(guān)注開發(fā)人員的工作效率

　　對于希望保護(hù)其軟件供應(yīng)鏈的企業(yè)而言，開發(fā)人員的工作效率是一項共同挑戰(zhàn)。開發(fā)人員需更換不安全的組件，這不會影響應(yīng)用程序的初始開發(fā)，但安全性需要預(yù)先成為開發(fā)人員工作流程的一部分，這可以最大限度地降低應(yīng)用程序部署后的風(fēng)險。

　　02、未與 DevOps工具等集成

　　與DevOps工具等集成應(yīng)成為企業(yè)的一項重要要求，其確保了軟件供應(yīng)鏈安全可以完全集成到企業(yè)的開發(fā)環(huán)境中，而不僅僅是用作另一個獨立的應(yīng)用程序，這樣可以有效保護(hù)軟件供應(yīng)鏈安全。

　　03、不關(guān)注數(shù)據(jù)準(zhǔn)確性和低誤報率

　　低誤報率對于提高開發(fā)人員的工作效率和增強(qiáng)對安全團(tuán)隊的信任至關(guān)重要。安全誤報已經(jīng)成為最大痛點之一，因為其主要任務(wù)是監(jiān)控安全事件并及時調(diào)查和響應(yīng)，如果他們被成百上千的虛假警報淹沒，無疑會分散其對真正威脅做出有效響應(yīng)的注意力。

　　04、未掌握許可證信息

　　許可證信息也可能不準(zhǔn)確或不合規(guī)。企業(yè)團(tuán)隊需要及時了解每個組件的任何版本發(fā)布、補(bǔ)丁和許可證問題。

　　05、不阻擋不需要的組件

　　不安全的開源組件應(yīng)該被阻止在軟件供應(yīng)鏈之外。這包括漏洞、盜版和不兼容的許可證等問題。MIB集團(tuán)的高級企業(yè)架構(gòu)師表示其團(tuán)隊能夠定義他們愿意承擔(dān)的風(fēng)險級別，以阻止不需要的開源組件進(jìn)入其開發(fā)生命周期。

　　06、不跨“孤島”進(jìn)行規(guī)劃

　　在實施軟件供應(yīng)鏈安全解決方案時，一個常見的錯誤是沒有跨企業(yè)內(nèi)的“孤島”進(jìn)行規(guī)劃。團(tuán)隊需要確保每個人（包括安全、開發(fā)和 DevOps 團(tuán)隊）都了解開源安全和許可證管理所需的新流程和措施。

　　07、不關(guān)注整個 SLDC 自定義策略的實施

　　另一個常見錯誤與跨各種應(yīng)用程序類型實施不同類型的自定義策略有關(guān)。團(tuán)隊需要決定是否要對具有更寬松許可證的組件實施更嚴(yán)格的標(biāo)準(zhǔn)，反之亦然。軟件企業(yè)在軟件開發(fā)生命周期 （SDLC） 中集成安全性也是保護(hù)組織免受數(shù)據(jù)泄露和其他網(wǎng)絡(luò)攻擊的關(guān)鍵。

　　08、在開發(fā)運營和 AppSec 團(tuán)隊中沒有戰(zhàn)略和目標(biāo)

　　企業(yè)需要意識到不實施特定軟件供應(yīng)鏈戰(zhàn)略的潛在影響，這包括解決軟件開發(fā)團(tuán)隊，安全團(tuán)隊和其他利益相關(guān)者的安全問題。企業(yè)也應(yīng)該清楚，沒有實施軟件供應(yīng)鏈安全解決方案的目標(biāo)可能會導(dǎo)致成本隨著時間的推移而增加。

　　09、未提高安全應(yīng)用程序的上市速度

　　安全軟件供應(yīng)鏈的改進(jìn)使團(tuán)隊能夠更快地生成安全應(yīng)用程序，這可以加快新開發(fā)項目和服務(wù)的上市時間。除了安全優(yōu)勢之外，此改進(jìn)還有助于企業(yè)避免因不安全的組件違規(guī)和可能引入應(yīng)用程序的漏洞而造成的重大責(zé)任。

　　10、未盡快實施相應(yīng)的軟件供應(yīng)鏈安全解決方案

　　企業(yè)盡早開始實施相應(yīng)的軟件供應(yīng)鏈安全解決方案非常重要。企業(yè)面臨來自商業(yè)開源組件的安全、許可和性能問題的重大風(fēng)險如果不加以解決，這些問題可能會給開發(fā)團(tuán)隊帶來更多的工作，同時也會增加成本。

　　長期專注于DevSecOps、軟件供應(yīng)鏈安全領(lǐng)域的老牌企業(yè)孝道科技給出了其解決方案：新一代數(shù)字化應(yīng)用安全平臺。平臺包含了孝道科技的三大安全原子能力，分別是IAST（交互式應(yīng)用安全測試系統(tǒng)）、開源組件安全檢測與分析系統(tǒng)（SCA）以及RASP（應(yīng)用的自適應(yīng)免疫防護(hù)）。這三個能力之間有深度耦合以及智能協(xié)同，這意味著用戶在做交互式應(yīng)用安全測試時，就可以同時有能力去針對漏洞的可達(dá)性、可利用性進(jìn)行測試，相當(dāng)于將組件安全和IAST有機(jī)的結(jié)合起來。

　　最早投身軟件供應(yīng)鏈領(lǐng)域的安全企業(yè)懸鏡安全也給出了他們的解決方案。懸鏡安全憑借多年技術(shù)攻關(guān)首創(chuàng)專利級代碼疫苗技術(shù)和下一代積極防御框架，并通過“全流程軟件供應(yīng)鏈安全賦能平臺+敏捷安全工具鏈”的第三代DevSecOps智適應(yīng)威脅管理體系及配套的敏捷安全閉環(huán)產(chǎn)品體系、軟件供應(yīng)鏈安全組件化服務(wù)，已幫助上千家用戶構(gòu)筑起適應(yīng)自身業(yè)務(wù)彈性發(fā)展、面向敏捷業(yè)務(wù)交付并引領(lǐng)未來架構(gòu)演進(jìn)的內(nèi)生積極防御體系。

　　更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<