作者: JFrog大中华区总经理董任远
新年立下新志向,开启新征程。对于 CISO 和 CSO们来说,这也意味着他们能够借此机会打造能把自身企业安全作为优先考量的解决方案。
去年,整个业界在加强软件供应链安全方面取得了显著进展,但安全团队在软件供应链方面仍然面临着许多潜在的威胁。AI/ML模型中恶意代码的猖獗使用、遭入侵的开源软件、漏洞利用等问题仍持续困扰着企业。
为在 2024 年确保软件供应链尽可能安全,安全专业人士必须在今年致力于做好以下五大关键,包括:
● 对于开源代码,在信任的同时要对其进行验证
● 警惕安全解决方案和代码开发中的AI/ML
● 不要对零日漏洞感到恐慌
● 将 SBOM 作为安全战略的必备要素进行集成
● 采取“左移”战略
对于开源代码,在信任的同时要对其进行验证
安全领导者面临的最严峻挑战之一就是开源软件的威胁。许多开发者盲目信任来自公共开源代码库的软件,认为它们不存在安全和合规性问题。然而,未能对代码进行包含必要的安全控制等在内的正确审查以确保其始终处于最新状态,会使组织遭受软件供应链攻击的风险增高。
步入 2024 年,安全领导者必须在信任开发者开源编码实践的同时对其进行验证。安全风险往往始于开发者从这些公共资源库下载代码的那一刻。通过确保自始对代码进行充分审查,安全领导者就能主动减轻对软件供应链的威胁,避免造成不可挽回的损失。
警惕安全解决方案和代码开发中的AI/ML
2023年,人工智能的兴起推动了创新,但也引起了人们对安全问题的高度关注。软件开发安全方面的疏忽可能会无意中将恶意代码引入AI/ML 模型,让攻击者有机可乘,由此对企业造成进一步的损害。
开发者还可能会使用从公共 AI/ML 源生成的代码,而不知道模型是否已遭到入侵。如果盲目信任AI/ML 模型,就可能会给企业招致更多的漏洞——所有来自AI/ML 源的代码都必须经过审查。
无需对零日漏洞感到恐慌
2023 年,网络犯罪分子利用零日漏洞的速度创下了历史新高,而新的一年里,这一趋势还将持续。
面对零日攻击,安全团队常常会感到恐慌,不确定 CVE (关键漏洞披露)会产生怎样的影响。虽然CVE可能存在于他们的软件中,但也完全有可能在极端特殊情况下被利用,而这些情况并不适用于该企业。在这种情况下,可能会无缘无故地对最终用户实施耗时且可能具有破坏性的补丁。
今年,CISO 和 CSO 们在采取行动之前,需要先了解 CVE 及其与企业的关系。盲目修补可能弊大于利,而将 CVE 与具体情况联系起来,则有助于更好地保护企业并明确真正需要采取的行动。
将 SBOM 作为必备要素纳入安全战略
SBOM 已成为安全领导者使用的重要 DevSecOps 工具,因其能为用户提供更快的识别方法,缩短恢复时间,提高代码修复的效率和效力,并在更严格的监管环境中增强合规性。
SBOM 可以系统性地跟踪每个应用程序中存在的组件,以及应用程序运行所需的依赖项,使安全团队能够准确地查看在发生漏洞利用时受到影响的系统。此外,在 2024 年,网络安全监管环境还将继续收紧,这使得 SBOM 不再只是“锦上添花”的存在,而且是确保遵守新规则的必需。
采取“左移”战略
对于安全领导者来说,落实上述所有的解决方案可能是一项艰巨的任务,这也是为什么CSO 和 CISO 们在 2024 年必须采用“左移”的方法来确保安全性。
通过从一开始就将安全纳入软件开发,安全领导者可以确保为其软件供应链建立更加积极主动的防线。这样,他们在软件开发中使用开源或公开开发的 AI/ML 代码时就更具灵活性,可以更好地控制为其企业而构建的AI/ML 模型,确保尽可能降低CVE 漏洞利用的可能性,并提高了 SBOM 的有效性。
步入2024 年并展望更远的未来,软件领域的复杂性只会有增无减。通过在软件供应链安全方面采取“左移”思维,CISO 和 CSO 们可以确保企业更强大、更具韧性,以应对新的安全挑战。
###
关于JFrog
JFrog Ltd.(纳斯达克股票代码:FROG)的使命是创造一个从开发者到设备之间畅通无阻的软件交付世界。秉承“流式软件”的理念,JFrog软件供应链平台是统一的记录系统,帮助企业快速安全地构建、管理和分发软件,确保软件可用、可追溯和防篡改。集成的安全功能还有助于发现和抵御威胁和漏洞并加以补救。JFrog 的混合、通用、多云平台可以作为跨多个主流云服务提供商的自托管和SaaS服务。全球数百万用户和7000多名客户,包括大多数财富100强企业,依靠JFrog解决方案安全地开展数字化转型。一用便知!