近日,2023RSAC大会公布了第18届RSAC创新沙盒竞赛的决赛“十强企业”。软件安全企业Endor Labs成功入围,软件供应链安全和开源安全问题再次成为国际焦点。Endor Labs提供了一个可依赖的生命周期管理平台,旨在解决软件供应链安全中企业开源软件治理问题,帮助开发者快速定位并解决开源软件引入的风险。
从2021年开始软件供应链安全连续多年成为RSCA创新沙盒大赛的热门赛道,有2021年Apiiro、Wabbi,2022年的Cycode都是从大赛出来的明星企业。今年将开源软件安全企业纳入软件供应链安全赛道,足以说明国际信息安全领域对此方向的高度重视,强化软件供应链安全更是成为保障各国信息安全的关键措施之一。
随着开源软件的发展和普及,越来越多的企业开始采用开源技术来构建和运营自己的业务。然而,开源技术的治理对企业来说是一个复杂的问题。今年来,针对开源软件供应链的攻击行为频发,对企业发展乃至国家建设造成了严重威胁。
对于开源社区来说,所维护的开源软件的分发和更新是分散的,缺乏统一的管理和审核机制,使得攻击者更容易利用其中的弱点来危害整个开源软件供应链。因此,对于使用开源社区来说,确保软件供应链的安全性和可靠性同样是至关重要的。
开源软件“三大典型”的供应链安全风险
01 漏洞安全风险
开源软件本质上也是由开发者进行开发的,随着时间的推移,会因为技术迭代落后以及代码测试质量不充分而产生一些安全漏洞,比如去年的Log4J事件;其次由于开源软件开放的特性,攻击者往往更容易获取软件自身漏洞信息来实施攻击,所造成的影响也越大。
02 知识产权风险
对于开源软件来说,“开源”并不等于完全免费。在使用当前开源软件时,也同样需要遵守相关“合同要求”。在开源领域主要是围绕“开源许可证”进行,如果企业未按照相关要求进行落实,那么很容易引发知识产权风险。
03 供应链环节的安全风险
开源软件的供应链环节非常复杂,涉及到管理平台类(社区、基金会、遍布世界的开发者等),开发过程类(打包工具、持续集成工具、容器镜像工具等),在这些部分中任何一个环节出现问题都会导致软件供应链的安全风险。由于企业引入开源过程,往往很难发现此类问题,导致了开源软件供应链的风险。
针对开源软件供应链安全的防护方法
01 对开源软件的已知漏洞及时修复
开源软件的已知漏洞是最容易被攻击者所利用的,会危及相应软件系统或数据的机密性、完整性或可用性。在使用开源软件时,及时确定已知漏洞的情况并修复是最重要的防护方法。
02 开展对开源软件的依赖管理
保持开源软件的最新版本,帮助开发者更好地理解系统中使用开源软件的依赖关系,避免出现因依赖库版本不兼容或存在漏洞而导致系统崩溃、数据泄漏、业务中断等安全风险。
03 对源代码进行审查
全面扫描软件源代码,帮助开发者发现代码中的潜在问题和漏洞,避免因此引发的安全漏洞和系统故障,从而提高软件质量和安全性。
04 加强供应链管理
建立健全的供应链管理体系,确保确保开源软件的来源和完整性,防止恶意代码和潜在漏洞的传播,并且对软件供应链进行管理还可以提高软件的质量和可靠性,确保软件满足用户需求
打造软件供应链安全检测平台,提供全方位软件安全检测
软件供应链安全检测平台 (SSCSP)依托开源网安在安全领域近十年的业务实践经验和技术积淀,通过把控软件供应链安全的前端环节,助力客户交付安全可信的软件。帮助用户节省安全成本,将有限资源投入核心业务,提升业务竞争力。
客户收益:保安全、降风险
全方位提升软件安全性、稳定性和可靠性,提升业务竞争力。
清晰了解软件供应链前期安全风险,提高对风险的把控能力。
降低安全成本,将有限资源投入核心业务,降本增效。
产品价值:四位一体,保障软件供应链安全
01 多维度全方位的安全检测
从源代码、软件许可、二进制文件应用程序运行环境等层面对软件进行前期全方位安全检测,输出检测报告中包含专家结果分析和修复建议,协助用户快速完成漏洞修复。
02 软件漏洞及时预警
开源网安团队时刻关注业界最新漏洞态势,以软件资产为依据,快速适配业界漏洞情报数据,为客户提供漏洞预警信息。
03 软件物料清单分析(SBOM)
平台对已检测软件进行物料清单安全分析,并以可视化形态展示(包含软件数量、依赖关系、漏洞情况、许可兼容性等)。
04 软件态势可视化
对所有已检测软件进行数据分析和展示,包含物料清单、漏洞分布、软件详情、许可信息等进行多维度可视化展示,让用户对软件资产情况一目了然。