軟件供應鏈安全問題觸及高管層

企業逐漸意識到需要建立更好的軟件供應鏈風險管理策略，并正采取行動應對這一攻擊面上不斷升級的威脅和漏洞。

前段時間，Coalfire委托網絡安全及信息風險管理市場商業情報公司CyberRisk Alliance，對來自軟件購買和軟件生產公司的300位受訪者進行了調查訪問。

大部分受訪者（52%）稱自己“非常”或“極度”關注軟件供應鏈風險，84%的受訪者表示其所在企業可能分配至少5%的應用安全預算用于管理軟件供應鏈風險。

7月19日發布的調研報告表明，軟件購買方計劃投資于采購計劃指標和報告、應用程序滲透測試和軟件物料清單（SBOM）設計與實現。

同時，軟件開發商表示，計劃投資安全代碼審核及SBOM設計與實現。

調研還發現，由于對代碼來源的擔憂，59%的軟件開發公司客戶延遲了長達三個月才完成購買。

正如Coalfire副總裁Dan Cornell解釋的，統計數據反映出網絡安全風險和一般業務風險逐漸融合，表明企業認為軟件供應鏈風險大到需要暫緩購買，直到這些風險能夠得以解決。

“但在我們的現代商業環境中，延遲購買會增加商業風險，因為這樣會推遲向利益相關者交付價值，并會為競爭對手提供搶先進入市場的機會。”他補充道，“因此，企業需要研究他們是如何應對供應鏈風險的。”

Cornell表示，如果他們能夠充分應對這一風險，而且比競爭對手更迅速，那就意味著他們可以更快進入市場，更快開始為利益相關者創造價值。

“而如果他們不能，那么軟件供應鏈網絡安全風險就會增加錯過機會的商業風險。”

高管層關注軟件供應鏈安全

Cornell稱，關于向前推進的一些重要發現圍繞響應企業中誰關注軟件供應鏈問題而展開。

軟件買家方面，51%的高級管理層（首席級）提出了軟件供應鏈問題，僅次于關注該問題的安全團隊成員（60%）。

“我料到安全團隊會提出這些問題，但是高級管理人員也關心這個問題就特別有意思了。”Cornell指出，“這很棒，是在此問題上取得重大進展的必要前提。很明顯，安全團隊關心這些問題，但是他們不負責訂立企業策略和方針，是高管在負責。”

Cornell稱，有了高管的參與，他們就會開始在預算分配中反映這一重點。

“然后，而且也只有到那時，才能以結構化和程序化的方式解決軟件供應鏈問題。”

而在軟件供應商方面，Cornell指出，71%的受訪者表示，是DevOps部門在推進軟件供應鏈決策，這么認為的受訪者人數甚至超過了認為是安全團隊的（63%）。

“這真的很令人鼓舞——我認為讓安全團隊以外的人來推動這些措施非常重要。”他解釋道，“安全團隊需要成為風險顧問，但DevOps團隊才是選擇其項目所用開源組件的人，并且還負責決定升級的內容和時間。”

Cornell補充稱，看到他們嚴肅認真地對待這個問題，自己覺得這些問題有望開始得到解決。

DevOps團隊構建風險管理中心

在Cornell看來，DevOps團隊，或者更完善的DevSecOps團隊，應該切實主管軟件供應鏈風險。

“他們才是擁有軟件開發過程的那些人，能看到編寫的代碼。”Cornell表示，“他們看到有哪些組件被納入進來，看著軟件逐漸構建成型，并讓接下來的任何人都可以使用這個軟件。”

鑒于擁有這一優勢，DevOps團隊能夠以積極的方式影響企業的軟件供應鏈安全狀態，圍繞軟件中包含的開源代碼及其升級時機實現良好的策略和實踐。

“前瞻型DevSecOps團隊可以利用其自動化和測試優勢，著手推動更積極的組件升級生命周期和有助于減少技術債務的其他方法。”他解釋道。

Cornell表示，他們也擁有可以幫助生成SBOM的工具，可以將之提供給軟件消費者，使其能夠管理自身供應鏈風險。

“解決軟件供應鏈安全風險未必需要企業采用DevSecOps方法來進行軟件開發。”

建立風險評估框架

今年5月，MITRE公布了一個信息與通信技術（ICT）原型框架，該框架定義和量化了包括軟件在內的供應鏈風險和安全問題。

就在同一個月里，美國國家標準與技術研究院（NIST）更新了其解決軟件供應鏈風險的網絡安全指南，為各類利益相關者提供量身定制的建議安全控制集。

與此同時，越來越多的惡意黑客將供應鏈公司視為企業網絡的切入點，其中就包括臭名昭著的朝鮮Lazarus團伙。