20 年 2024 月 XNUMX 日,Gartner 发布了其具有影响力的 L软件供应链安全读者指南, 强调了对软件供应链攻击的防御需求日益增长。随着这些攻击的频率和复杂性不断增加,组织面临着必须有效管理的重大风险。这篇文章解释了 Gartner 报告中的关键发现。它解释了 Scribe Security 的解决方案如何与这些建议保持一致并为其提供支持,使组织能够管理 软件供应链安全 (SSCS)战略性地。
Gartner 指南的主要发现
Gartner 的指南为组织机构提供了保护其 SSCS 的战略路线图。它强调需要在整个软件开发生命周期内采用统一的策略、有效的信息共享和集成的安全实践,而不是专注于特定的威胁载体。该报告建议对 SSCS 采取广泛的方法,包括以下领域:
- 存在漏洞的开源代码: 许多组织依赖开源软件 (OSS),如果管理和监控不当,可能会引入漏洞。
- 专有商业代码: 除了开源风险之外,专有软件还可能包含攻击者可能利用的漏洞。
- 开发基础设施: 开发环境中的弱点,例如不安全的开发管道或访问控制不足,可能会导致安全漏洞。
- 开源软件包中的恶意代码: 攻击者可能会将恶意代码插入流行的开源软件包中,而开发人员可能会在不知情的情况下采用这些代码。
- 专有代码中的漏洞: 即使是定制软件也可能包含错误和漏洞,如果被利用,可能会导致严重的安全事故。
通过指出这一广泛的攻击面,Gartner 鼓励各组织制定全面的战略来应对开发基础设施中的开源和专有风险和漏洞。
软件供应链攻击成本不断上升
Gartner 描述了软件供应链攻击的数量和成本迅速增加的情况。它引用了 Cybersecurity Ventures/Snyk 2023 年 138 月的一份报告,到 2031 年,这些攻击的全球成本可能达到近 46 亿美元,高于 2023 年的近 XNUMX 亿美元。这些数字凸显了这些攻击对全球企业造成的重大财务影响以及投资 SSCS 的重要性。
当前实施工作的差距
虽然大多数组织都认识到软件供应链安全的重要性,但 Gartner 的调查结果显示,实施工作往往是分散且不协调的,正如 2023 年 Gartner 的一项调查发现的那样。在调查中,三分之二的组织致力于 SSCS 计划,但他们的努力通常不够。常见问题包括专注于应用程序安全而不解决开发环境的安全问题,从而导致攻击者可以利用漏洞。
SSCS 采用的未来
Gartner 建议作为一项规划假设,到 2027 年,80% 的组织将在整个企业范围内采用专门的流程和工具来降低 SSCS 风险,高于 50 年的 2023%。这一增长反映了人们越来越意识到 SSCS 策略的关键重要性,以及需要在整个软件开发生命周期中集成安全性的解决方案。
协调和自动化的重要性
为了建立有效的 SSCS,Gartner 讨论了组织范围内协调和信息共享的必要性。自动化在这一战略中发挥着重要作用,它能够在整个软件开发生命周期内一致地执行安全策略并及时进行安全评估。自动化流程减少了对人工干预的依赖,最大限度地减少了人为错误,并确保在从代码创建到部署的所有开发阶段一致地应用安全措施。
Scribe Security 的平台 通过整合自动化流程来增强实时威胁检测、合规性监控和策略执行,从而符合这些原则。作为其 SSCS 解决方案的一部分,提供自动化功能可确保主动有效的风险管理,帮助组织避免新出现的威胁。
利益相关者协调
有效的 SSCS 需要各利益相关方之间的协作,包括安全团队、软件工程、采购、供应商风险管理和运营安全。每个团体都在维护安全的软件供应链中发挥着作用,这些利益相关方之间的协调有助于确保一致的 SSCS 标准和实践。
Scribe Security 的协作平台通过实现通信和信息共享以及提供安全数据的统一视图,促进了跨组织协调。例如,这有助于快速应对潜在威胁并保持一致的 SSCS 方法。
工具与技术
鉴于现代软件供应链的复杂性,Gartner 建议使用专门定制的工具来支持 SSCS 生命周期的不同阶段。组织应首先评估关键阶段,以确定最符合其需求的工具和功能的优先级。Scribe Security 提供了一套全面的工具,旨在管理整个软件生命周期的风险,从开发到部署,甚至更远。
软件供应链安全的三大支柱以及 Scribe 如何应对这些支柱
Gartner 确定了实现充分的软件供应链安全的三个关键支柱:策划、创建和消费。这些支柱构成了组织制定有效 SSCS 策略的框架。Scribe Security 提供与每个支柱相符的功能,以保护软件供应链的各个方面。
1. 策展
监管涉及管理在软件开发生命周期中用作依赖项的第三方库相关的风险。如果没有经过适当的审查和监控,第三方组件可能会引入漏洞。Gartner 建议实施流程和工具来评估依赖项的安全性、运营风险、法律合规性和自动策略实施,以防止使用有风险或未经批准的依赖项。
Scribe 如何与 Curate 支柱保持一致:
- 依赖关系的自动分析: Scribe 会在开发之前、开发期间和开发之后自动分析软件依赖关系。这种持续监控会自动评估依赖关系的变化,以发现潜在的安全风险。
- 全面情报收集: Scribe 收集每个依赖项的详细情报,包括已知漏洞信息、信誉评分(例如来自 OpenSSF 的评分)、可用修复程序和许可信息。这些数据可帮助组织做出明智的决定,确定要使用哪些依赖项。
- 丰富的软件物料清单 (SBOM) 库存: Scribe 在丰富的 SBOM 清单中管理所有依赖关系信息。此清单提供了所有软件组件的清晰而全面的视图,使跟踪和管理风险更加容易。
- 自动策略执行: Scribe 根据预定义的标准应用自动化策略来警告、阻止或允许外部依赖项。这些策略可以处理安全、运营、法律和合规性风险,作为代码可高度自定义,并且使用 GitOps 进行本地管理。这种方法提倡仅使用安全且经过批准的依赖项。
2。 创建
“创建”支柱侧重于在开发过程的不同阶段保护软件免受恶意代码注入。这需要跟踪依赖项、保护开发环境、确保工件来源和完整性,并实施严格的安全控制和政策。
Scribe 如何与创建支柱保持一致:
- 自上而下的安全方法: Scribe 采用自上而下的方法来保护软件的整个开发生命周期。这种方法涉及发现整个组织的所有软件开发生命周期 (SDLC) 管道,从代码创建到云部署或发布。
- 持续监控: Scribe 监控整个开发生命周期,包括部署前和部署后阶段。这种持续监控有助于识别和减轻开发每个阶段的安全风险。
- 工件的加密签名: Scribe 确保证据以及所有临时和最终工件的哈希值都经过加密签名。这种做法为每个构建的工件提供了现成的出处,确保了软件组件的完整性和真实性。
- 知识图谱和 SBOM 清单: Scribe 的证据库充当知识图谱和 SBOM 清单,跟踪项目和生产中使用的所有组件以及上下文。这种跟踪允许在发布新漏洞时实时发出有关存在漏洞工件的警报。
- 政策执行: Scribe 在构建过程、准入控制和离线存储库扫描期间应用安全策略。这些策略通过 GitOps 作为代码进行管理,使其成为 SDLC 不可或缺的一部分,并确保一致地应用安全控制。
- 合规蓝图: Scribe 提供框架蓝图,例如软件工件供应链级别 (SLSA) 和安全软件开发框架 (SSDF),以逐个产品和逐个版本强制执行或监控合规性。这些蓝图提供了标准化的安全性和合规性方法,帮助组织满足行业标准。
3. 消费
消费支柱可降低与第三方套装软件(无论是商用现货 (COTS) 还是 OSS)相关的风险。这包括在购买前评估软件、确保软件组成的透明度、进行专门测试以及为 SBOM 和其他安全工件实施稳健的流程。
Scribe 如何与消费支柱保持一致:
- SSCS 利益相关者的协作平台: Scribe 提供了一个协作平台,促进组织内外 SSCS 利益相关者之间的沟通和信息共享。Scribe 供应商可以与其客户共享 SBOM、漏洞交换 (VEX) 公告和合规性证明(例如 SLSA 出处)。
- 统一事实来源: Scribe 使各种内部利益相关者(开发人员、安全运营中心 (SOC)、治理、风险和合规 (GRC) 团队以及法律部门)能够查看统一的事实来源。这种集中视图可在整个软件产品生命周期内强制执行可接受的风险政策。
- 积极主动的供应商参与: Scribe 帮助组织主动与供应商合作,以确保合规性和安全性。这与 Gartner 强调透明度和全面评估的理念相一致。Scribe 的平台允许组织跟踪供应商的安全实践,并确保第三方软件符合其安全标准。
- SBOM 生成和管理: Scribe 使软件消费者能够为收到的软件工件生成 SBOM,或提取供应商提供的 SBOM 和 VEX 数据。此功能使消费者能够维护包装产品中使用的所有组件的最新清单,监控新的漏洞,并及时采取行动以降低风险。
- 事件响应支持: 收集的证据和已发布软件工件的谱系映射可建立责任制并为事件响应提供关键的取证信息。此功能可增强组织快速有效地应对安全事件的能力。
为什么选择 Scribe Security?
Scribe Security 提供广泛而综合的软件供应链安全方法,与 Gartner 对自动化、协调和主动风险管理的重视相一致。Scribe 的解决方案嵌入在组织的 SDLC 中,可自动生成安全证据、应用完整性和出处控制,并在整个软件生命周期内实施政策作为护栏。
Scribe Security 的主要优势:
- 端到端自动化: Scribe 可实现安全流程自动化,减少人工监督需求并加快合规性检查。这包括在构建和部署阶段自动执行合规性检查、工件签名、代码审查、安全扫描程序实施以及严重漏洞修复。
- 利益相关者之间的合作: Scribe 的平台增强了利益相关者的协作,作为提供背景信息、供应链情报和软件工件跟踪的单一事实来源。这支持协调努力,以管理不同部门和外部合作伙伴之间的安全。
- 供应商风险管理: Scribe 可帮助组织评估和管理关键供应链证据(例如 SBOM、SLSA 出处和合规性证明),从而增强供应商风险管理。此功能可帮助生产商和消费者确保其软件供应链符合安全和监管标准。
- 与应用程序安全扫描程序集成: Scribe 与流行的应用程序安全扫描程序集成,允许组织将安全策略应用于调查结果并保持对其整体安全态势的统一视图。
准备好改变您的软件供应链安全方法了吗?
加特纳的 软件供应链安全领导者指南 强调组织采用全面、协调的 SSCS 策略的迫切需要。组织可以通过实施三大支柱框架(策划、创建和消费)并利用 Scribe Security 提供的先进工具和流程,有效地管理风险、增强安全性并确保遵守监管要求。软件供应链攻击的财务影响越来越大,监管环境也不断变化,这使得组织需要优先考虑 SSCS 工作。
以下是一份小抄,总结了如何使用 Scribe Security 平台。如果你想了解更多 安排演示 看到它在行动。
此内容由领先的端到端软件供应链安全解决方案提供商 Scribe Security 为您提供 - 为整个软件供应链中的代码工件以及代码开发和交付流程提供最先进的安全性。 了解更多
相关文章
