IT 领域始终需要在发布新特性和功能与偿还技术债务之间进行权衡,其中包括可靠性、性能、测试……当然还有安全性等。
在这个“快速交付、打破常规”的时代,积累安全债务是组织自愿做出的决定。 每个组织都会在“有一天”的 Jira 待办事项中塞满安全任务,例如部署安全补丁以及运行最新、最稳定版本的编程语言和框架。 做正确的事情需要时间,团队会故意推迟这些任务,因为他们正在优先考虑新功能。 CISO 工作的一个重要部分是认识到必须偿还安全债务的时刻。
有一件事使得 Log4j 漏洞利用 让首席信息安全官们感到震惊的是,他们意识到存在着巨额的累积债务,而他们甚至没有注意到这一点。 它暴露了开源项目与创建者、维护者、包管理器和使用它们的组织的生态系统之间隐藏的一类安全漏洞。
软件供应链安全是安全债务资产负债表上的一个独特项目,但 CISO 可以制定一个连贯的计划来偿还债务。
一类新的漏洞
大多数公司都非常擅长锁定网络安全。 但是,由于开发人员构建系统以及他们用来编写应用程序的软件工件没有信任机制或安全监管链,因此存在一整类漏洞利用的可能性。
如今,任何有常识的人都知道,由于安全风险,不要随意拿起拇指驱动器并将其插入计算机。 但几十年来,开发人员一直在下载 开源包 无法验证它们是否安全。
不良行为者正在利用这种攻击媒介,因为它是新的唾手可得的果实。 他们意识到他们可以通过这些漏洞获得访问权限,一旦进入,就可以转向所有其他系统,这些系统依赖于他们用来获得访问权限的任何不安全的工件。
通过锁定构建系统停止挖掘
CISO 的基本起点,在开发人员指南等材料中得到认可“确保软件供应链的安全,”是开始使用开源框架,例如 NIST 的安全软件开发框架 (SSDF) 和 OpenSSF 软件工件的供应链级别 (SLSA)。 这些基本上是锁定供应链的规定步骤。 SLSA 1 级是使用构建系统。 2 级是导出一些日志和元数据(以便您稍后可以查找并进行事件响应)。 第三级是遵循一系列最佳实践。 第 3 级是使用真正安全的构建系统。 通过遵循这些首要步骤,CISO 可以为构建默认安全的软件供应链奠定坚实的基础。
当首席信息安全官首先考虑开发团队如何获取开源软件的政策时,事情变得更加微妙。 开发人员如何知道他们公司的“安全”政策是什么? 他们如何知道他们正在获取的开源(构成 大多数 如今开发人员使用的所有软件)确实未被篡改?
通过锁定构建系统并创建可重复的方法来验证软件工件的来源,然后再将其引入环境中,CISO 可以有效地阻止其组织在安全债务方面陷入更深的困境。
偿还旧软件供应链安全债务怎么样?
通过锁定基础映像和构建环境来停止挖掘后,现在您需要更新软件并修补漏洞,包括基础映像版本。
更新软件和修补 CVE 非常繁琐。 这很无聊,很耗时,是一件苦差事——这是工作。 这就是网络安全的“吃蔬菜”。 偿还这笔债务需要 CISO 和开发团队之间的深入合作。 这也是两个团队就更安全、更高效的工具和流程达成一致的机会,这些工具和流程有助于确保组织的软件供应链默认安全。
就像有些人不喜欢改变一样,有些软件团队也不喜欢更新他们的容器基础镜像。 基础镜像是基于容器的软件应用程序的第一层。 将基础映像更新到新版本有时会破坏软件应用程序,特别是在测试覆盖范围不足的情况下。 因此,一些软件团队更喜欢维持现状,本质上是无限期地徘徊在可能每天都会积累 CVE 的工作基础映像版本上。
为了避免漏洞的积累,软件团队应该经常更新图像并进行小的更改,并使用“生产中测试”实践,例如金丝雀发布。 使用经过强化、尺寸最小且使用关键软件供应链安全元数据构建的容器映像,例如 软件物料清单 (SBOM)、出处和签名,可以帮助减轻基础镜像中日常漏洞管理的耗时痛苦。 这些技术在保持安全和确保生产不下降之间取得了适当的平衡。
开始随用随付
担保债务的独特之处在于,当你只是为了“有一天”而继续将其归档时,它通常会在你最脆弱且最无力偿还的时候出现。 Log4j 漏洞恰好在繁忙的假日电子商务周期之前发生,并在接下来的一年中使许多工程和安全团队陷入瘫痪。 没有哪个首席信息安全官希望潜伏着隐藏的安全意外。
每个 CISO 都应该对更安全的构建系统、在开发人员将软件引入环境之前确定软件来源的软件签名方法以及可减少软件和应用程序基础上的攻击面的强化的最小容器基础映像进行最少的投资。
深入了解这一庞大的软件供应链安全债务偿还过程,首席信息安全官面临着一个难题:他们愿意让开发人员支付多少费用(通过不断更新具有漏洞的基础映像和软件),还是推迟偿还债务并达到可接受的水平脆弱性。
- :具有
- :是
- :不是
- $UP
- 1
- 7
- a
- 关于
- 可接受
- ACCESS
- 积累
- 积累
- 实现
- 获得
- 收购
- 演员
- 所有类型
- 缓和
- 还
- 时刻
- an
- 和
- 任何人
- 应用领域
- 应用领域
- 保健
- AS
- At
- 攻击
- 避免
- 远离
- 当前余额
- 资产负债表
- 基地
- 基本上
- BE
- 因为
- 很
- before
- 最佳
- 最佳实践
- 之间
- 大
- 票据
- Boring
- 都
- 午休
- 带来
- 瞻
- 建立
- 建筑物
- 建
- 忙碌
- 但是
- by
- CAN
- 大写
- 链
- 更改
- 更改
- CISO
- 程
- 相干
- 合作
- 相当常见
- 公司
- 公司
- 一台
- 考虑
- 容器
- 不断
- 难题
- 覆盖
- 创建信息图
- 创造
- 创作者
- 危急
- 保管
- 网络安全
- 周期
- 每天
- 一年中的
- 债务
- 几十年
- 决定
- 深
- 更深
- 默认
- 部署
- 开发商
- 开发
- 研发支持
- do
- 不会
- 做
- 不
- 向下
- 驾驶
- 两
- 电子商务行业
- 吃
- 生态系统
- 只
- 工程师
- 条目
- 环境
- 环境中
- 时代
- 特别
- 本质上
- 建立
- 甚至
- 所有的
- 功勋
- 出口
- 裸露
- 面部彩妆
- 高效率
- 特征
- 备案
- (名字)
- 第一步
- 遵循
- 以下
- 针对
- 基金会
- 骨架
- 框架
- 频繁
- 功能
- 根本
- Gain增益
- 差距
- 得到
- Go
- 非常好
- 指南
- 有
- 头
- 帮助
- 老旧房屋
- 穿孔
- 孔
- 假日生活
- 创新中心
- HTTPS
- 巨大
- if
- 图片
- 图片
- in
- 事件
- 事件响应
- 包括
- 包含
- 不安全
- 内
- 成
- 投资
- IT
- 它的
- 工作
- 只是
- 保持
- 知道
- 语言
- 后来
- 层
- 最少
- Level
- 各级
- 杠杆作用
- 喜欢
- 容易
- Line
- 日志4j
- 看
- 制成
- 使
- 制作
- 颠覆性技术
- 经理
- 许多
- 大规模
- 物料
- 机制
- 元数据
- 方法
- 方法
- 最小
- 最低限度
- 美好瞬间
- 更多
- 最先进的
- 许多
- 必须
- 需求
- 网络
- 网络安全
- 全新
- 新功能
- 最新
- NIST
- 没有
- 现在
- of
- 老
- on
- 一旦
- 打开
- 开放源码
- ZAP优势
- or
- 组织
- 组织
- 其他名称
- 超过
- 包
- 支付
- 面包
- 部分
- 打补丁
- 补丁
- 修补
- 付款
- 员工
- 性能
- 挑
- 枢
- 地方
- 计划
- 柏拉图
- 柏拉图数据智能
- 柏拉图数据
- 插头
- 点
- 政策
- 可能
- 做法
- 比较喜欢
- 优先顺序
- 过程
- 生产
- 生产力
- 代码编程
- 编程语言
- 项目
- 出处
- 放
- 雷达
- 随机
- RE
- 实现
- 实现
- 真
- 认识
- 减少
- 发布
- 可靠性
- 可重复的
- 需要
- 响应
- 右
- 风险
- 运行
- s
- 安全
- 安全
- 保安
- 安全风险
- 感
- 系列
- 片
- 船
- 配送服务
- 应该
- 签名
- 签约
- 尺寸
- 小
- So
- 软件
- 软件开发
- 一些
- 日后
- 来源
- 稳定
- 开始
- 开始
- Status
- 步骤
- Stop 停止
- 停止
- 罢工
- 强烈
- 超级
- 供应
- 供应链
- 肯定
- 磁化面
- 惊喜
- 系统
- 产品
- 需要
- 任务
- 队
- 文案
- 技术
- test
- 测试
- 这
- 其
- 他们
- 那里。
- 博曼
- 他们
- 事
- 事
- 认为
- Free Introduction
- 那些
- 通过
- 次
- 耗时的
- 至
- 一起
- 信任
- 一般
- 独特
- 独特地
- 更新
- 更新
- 使用
- 用过的
- 运用
- Ve
- 确认
- 版本
- 与
- 自觉自愿
- 漏洞
- 漏洞
- 脆弱
- 希望
- 是
- 不是
- 方法..
- 井
- 什么是
- 任何
- ,尤其是
- 这
- WHO
- 全
- 愿意
- 工作
- 加工
- 写
- 年
- 含
- 完全
- 您一站式解决方案
- 和风网