古谚有云:“链条的坚固程度取决于其最薄弱的一环。”那么,软件开发供应链安全中最薄弱的环节是什么?
作为当今应用程序开发中的常见实践,开源软件、API和其他第三方组件的运用不断增加,日益引发业内外对于应用程序安全性的关注。世界各地的企业和政府都开始认识到,即使只有某个组件遭到入侵(比如开源日志框架Apache Log4j中的Log4shell漏洞),也可能会将数亿台设备置于危险之中。
随着人们对软件供应链漏洞的恐慌加剧,美国政府安全机构于2022年9月发布了面向开发人员的联合指南,旨在严厉制裁这一不法行为。指南指出, “供应链入侵使恶意行为者似乎不被察觉地游走于网络。为了应对这种威胁,网络安全社区需要关注软件开发生命周期[SDLC]的安全防护。”
目前最广泛采用的SDLC保护方式是“左移”,这种方法将SDLC中的安全防护开始实施的时间节点不断前移,但常常导致部门之间推诿责任,结果问题只是被踢向其他部门,而并未得到解决。
这种情况已成为难题,因为大多数组织无法满足自己的应用程序安全需求:39%的组织表示他们面临严重的技能缺口,没有合格的人员来实施协调一致的应用程序安全防护措施;35%的组织则声称整个组织缺乏安全意识。
行业已迈入持续开发、持续集成和持续发布的时代,我们需要采取不间断、全天候的方法来保障应用程序安全。这种方法必须适用于当今松散结合的高度分布式云应用程序,而这些应用程序本质上具有复杂性和不可预测性。
这意味着,现有应用程序安全防护方法大大落后,彻底的变革却迟迟缺席。静态安全检查已力有不逮,如今的整个SDLC比以往更容易出错,问题点更为密集,影响也更加明显。
Log4shell和其他漏洞已有前车之鉴,更不用说热门Linux开源代码库PyPi中曝出越来越多的恶意软件包,显而易见,如果组织未能适当保护应用程序并抵御这些风险,便要付出比以往更沉重的代价:不但会对业务和用户造成经济损失和声誉损害,也会为组织带来触犯一系列监管准则的风险。
此外,无论在哪些位置或是在SDLC流程的哪一环节采取保护措施,仅凭一层保护并不够。应用程序运行所在的整个基础设施包括网络流量、应用层代码和工作负载层(虚拟机、容器、无服务器),安全与合规管理是其中一项必要的业务条件。
由于情况错综复杂,许多供应商已开始为云原生工作负载提供安全扫描、监控和可观测性工具,他们摒弃了松散集成的一组单一用途产品,改为通过独立的统一平台来提供所有这些功能。
“云原生应用程序保护平台”(CNAPP)一词最早由Gartner提出,指的是“一组集成的安全与合规功能,旨在帮助组织在开发和生产过程中保护云原生应用程序。”CNAPP解决方案承诺能够基于整个应用程序基础设施的端到端可见性来对信息进行情景化分析。
不过,CNAPP的承诺与供应商实际提供的内容通常不太相符。为了帮助您选定适合自身业务的解决方案,本购买指南将概述在选择第三方企业CNAPP解决方案时需要考虑的事项和注意的问题。
本文来自知之小站
PDF报告已分享至知识星球,微信扫码加入查阅下载3万+精选资料,年享1万+精选更新
(星球内含更多未发布精选报告.其它事宜可联系zzxz_88@163.com)
