作者: JFrog大中華區(qū)總經(jīng)理董任遠
新年立下新志向�����,開啟新征程��。對于 CISO 和 CSO們來說�,這也意味著他們能夠借此機會打造能把自身企業(yè)安全作為優(yōu)先考量的解決方案。
去年�,整個業(yè)界在加強軟件供應鏈安全方面取得了顯著進展,但安全團隊在軟件供應鏈方面仍然面臨著許多潛在的威脅����。AI/ML模型中惡意代碼的猖獗使用、遭入侵的開源軟件����、漏洞利用等問題仍持續(xù)困擾著企業(yè)。
為在 2024 年確保軟件供應鏈盡可能安全����,安全專業(yè)人士必須在今年致力于做好以下五大關鍵,包括:
● 對于開源代碼��,在信任的同時要對其進行驗證
● 警惕安全解決方案和代碼開發(fā)中的AI/ML
● 不要對零日漏洞感到恐慌
● 將 SBOM 作為安全戰(zhàn)略的必備要素進行集成
● 采取“左移”戰(zhàn)略
對于開源代碼�����,在信任的同時要對其進行驗證
安全領導者面臨的最嚴峻挑戰(zhàn)之一就是開源軟件的威脅���。許多開發(fā)者盲目信任來自公共開源代碼庫的軟件��,認為它們不存在安全和合規(guī)性問題�����。然而���,未能對代碼進行包含必要的安全控制等在內(nèi)的正確審查以確保其始終處于最新狀態(tài),會使組織遭受軟件供應鏈攻擊的風險增高�。
步入 2024 年,安全領導者必須在信任開發(fā)者開源編碼實踐的同時對其進行驗證�����。安全風險往往始于開發(fā)者從這些公共資源庫下載代碼的那一刻。通過確保自始對代碼進行充分審查����,安全領導者就能主動減輕對軟件供應鏈的威脅,避免造成不可挽回的損失�����。
警惕安全解決方案和代碼開發(fā)中的AI/ML
2023年����,人工智能的興起推動了創(chuàng)新,但也引起了人們對安全問題的高度關注����。軟件開發(fā)安全方面的疏忽可能會無意中將惡意代碼引入AI/ML 模型,讓攻擊者有機可乘���,由此對企業(yè)造成進一步的損害����。
開發(fā)者還可能會使用從公共 AI/ML 源生成的代碼��,而不知道模型是否已遭到入侵���。如果盲目信任AI/ML 模型����,就可能會給企業(yè)招致更多的漏洞——所有來自AI/ML 源的代碼都必須經(jīng)過審查��。
無需對零日漏洞感到恐慌
2023 年�����,網(wǎng)絡犯罪分子利用零日漏洞的速度創(chuàng)下了歷史新高����,而新的一年里,這一趨勢還將持續(xù)��。
面對零日攻擊�,安全團隊常常會感到恐慌,不確定 CVE (關鍵漏洞披露)會產(chǎn)生怎樣的影響����。雖然CVE可能存在于他們的軟件中,但也完全有可能在極端特殊情況下被利用����,而這些情況并不適用于該企業(yè)。在這種情況下,可能會無緣無故地對最終用戶實施耗時且可能具有破壞性的補丁�����。
今年���,CISO 和 CSO 們在采取行動之前�,需要先了解 CVE 及其與企業(yè)的關系���。盲目修補可能弊大于利����,而將 CVE 與具體情況聯(lián)系起來�,則有助于更好地保護企業(yè)并明確真正需要采取的行動。
將 SBOM 作為必備要素納入安全戰(zhàn)略
SBOM 已成為安全領導者使用的重要 DevSecOps 工具�����,因其能為用戶提供更快的識別方法�����,縮短恢復時間���,提高代碼修復的效率和效力��,并在更嚴格的監(jiān)管環(huán)境中增強合規(guī)性�����。
SBOM 可以系統(tǒng)性地跟蹤每個應用程序中存在的組件����,以及應用程序運行所需的依賴項�,使安全團隊能夠準確地查看在發(fā)生漏洞利用時受到影響的系統(tǒng)。此外��,在 2024 年�,網(wǎng)絡安全監(jiān)管環(huán)境還將繼續(xù)收緊,這使得 SBOM 不再只是“錦上添花”的存在�����,而且是確保遵守新規(guī)則的必需�。
采取“左移”戰(zhàn)略
對于安全領導者來說,落實上述所有的解決方案可能是一項艱巨的任務����,這也是為什么CSO 和 CISO 們在 2024 年必須采用“左移”的方法來確保安全性��。
通過從一開始就將安全納入軟件開發(fā)����,安全領導者可以確保為其軟件供應鏈建立更加積極主動的防線�。這樣,他們在軟件開發(fā)中使用開源或公開開發(fā)的 AI/ML 代碼時就更具靈活性��,可以更好地控制為其企業(yè)而構建的AI/ML 模型���,確保盡可能降低CVE 漏洞利用的可能性��,并提高了 SBOM 的有效性�����。
步入2024 年并展望更遠的未來�����,軟件領域的復雜性只會有增無減�����。通過在軟件供應鏈安全方面采取“左移”思維�,CISO 和 CSO 們可以確保企業(yè)更強大、更具韌性����,以應對新的安全挑戰(zhàn)。
###
關于JFrog
JFrog Ltd.(納斯達克股票代碼:FROG)的使命是創(chuàng)造一個從開發(fā)者到設備之間暢通無阻的軟件交付世界��。秉承“流式軟件”的理念�,JFrog軟件供應鏈平臺是統(tǒng)一的記錄系統(tǒng),幫助企業(yè)快速安全地構建��、管理和分發(fā)軟件�����,確保軟件可用���、可追溯和防篡改。集成的安全功能還有助于發(fā)現(xiàn)和抵御威脅和漏洞并加以補救��。JFrog 的混合��、通用�����、多云平臺可以作為跨多個主流云服務提供商的自托管和SaaS服務。全球數(shù)百萬用戶和7000多名客戶���,包括大多數(shù)財富100強企業(yè)����,依靠JFrog解決方案安全地開展數(shù)字化轉(zhuǎn)型���。一用便知!如欲了解更多信息�,請訪問jfrogchina.com或者關注我們的微信官方賬號:JFrog捷蛙��。
京公網(wǎng)安備 11010502041587號