如何管理软件供应链风险

软件供应链正面临威胁，这种影响波及各类组织。SolarWinds 和 MOVEit 等安全事件敲响了警钟，凸显了加强可视性和保护的必要性。

加拿大通用银行首席风险和安全官 Adam Ennamli 表示："当今软件开发的现实是，我们都在构建层层叠加的系统，即使作为技术专业人士也无法完全掌握。现在几乎每个应用程序都是第三方组件的复杂拼接。如果要保持市场竞争力，这是不可避免的。问题在于，虽然这加快了开发周期，但也意味着你在承担未知风险。"

有些团队是在关键的开源组件突然停止维护或出现严重漏洞时，才意识到软件供应链风险的严重性。另一个因素是某些开源项目被故意投毒。同样，互联网上也在增加错误和误导性内容，这些内容会被大语言模型作为训练数据使用。

Ennamli 说："供应链安全不能仅仅作为安全评估清单上的一项，因为它关系到产品可靠性的根本，也就是客户信任的基础。你需要了解环境中运行的代码、维护者是谁以及更新方式。这不仅仅是扫描软件包，而是要理解应用程序所依赖的整个生态系统。"

CIO 和 CISO 面临的一个主要挑战是数据流的可视性。

全球系统集成商 Myriad360 的现场 CISO Jeremy Ventura 表示："由于组织环境不断变化和扩展，了解所有第三方供应商、资源和软件组件可能是一个重大障碍。这带来了数据问题：谁可以访问我的数据？我拥有什么类型的数据？我的数据在哪里发送和接收？什么时候访问我的数据？这些都是技术领导者每天应该问自己的问题。"

供应链风险是一项团队运动

开发人员不能独自管理风险，CISO 也不能。

Ventura 说："有效保护、防御和应对供应链事件应该是多个部门的协作，包括安全、IT、法务、开发、产品等。不应该由单个部门完全负责整个供应链项目，因为它涉及组织内的多个业务单位。通常由 CISO 或安全团队牵头，因为网络安全风险应该被视为业务风险。"

最常见的错误之一是产生虚假的安全感。

Ventura 说："'如果以前没有出现过供应链问题，为什么现在要修复？'这种思维方式会导致自满，使企业不够重视网络安全。另一个常见错误是组织过度依赖供应商评估，供应商可能声称自己是安全的，但实际上并未实施严格的控制措施。完全相信评估结果而不进行验证可能会导致严重问题。"

如果不关注供应链风险，组织将面临数据泄露、财务损失、合规处罚以及商业和声誉损害的高风险。据 Ventura 介绍，最近一家医疗机构因其供应商遭受攻击而发生数据泄露，导致患者数据丢失，最终受到合规和监管处罚。

"我的建议是关注数据可视性——包括组织数据、客户数据以及可能访问这些数据的第三方，"Ventura 说。"投资能够提供全面软件物料清单 (SBOM) 的解决方案用于审计，并持续对软件供应链供应商进行风险评估。最后，确保安全是多个内部部门共同承担的责任。"

加拿大通用银行的 Ennamli 表示，有效的供应链管理需要四个要素：

"所有这些组件需要协调一致地运作，否则要么会行动太慢而让开发人员感到沮丧，要么会行动太快而失去信任，"Ennamli 说。

JAVLIN Invest 的 CTO 兼首席产品官 Joseph Leung 表示，随着产品规模扩大和市场老化，第三方软件库中的漏洞本质上很难追踪。

"我们使用 OWASP Dependency-Check 等工具自动跟踪依赖关系，但不能完全依赖它。根据我的经验，管理威胁的最佳投资回报是让每个人都承担安全责任，"Leung 说。"在开发流程中制定审查库的政策并定期进行安全审查，这两个简单的流程可以在团队中培养以安全为重点的文化。简而言之，关键是在产品团队所有成员中创造最大的可视性。"

问题的根源在于组织缺乏对其应用程序中使用的第三方组件的洞察。

"漏洞披露的快速节奏可能会让团队不堪重负，"Leung 说。"资源分配、遗留系统和缺乏高管支持可能会进一步使安全工作复杂化。"

全方位建筑和工程公司 American Structurepoint 的 IT 和运营总监 Adam Martin 表示，跨职能协作至关重要。

"IT 和开发团队必须主动扫描和更新系统，而法务和采购部门应该审查供应商的安全实践，"Martin 说。"重要的是，高管层要认同优先考虑软件供应链安全的必要性。"

总结

组织需要更好地了解其应用程序中包含的内容。没有这种可视性，可能会导致各种不良后果，其中最重要的是潜在的责任风险。SBOM 和软件组成分析解决方案很有帮助。同样重要的是完善内部流程，创造重视软件和依赖项可视性的协作文化。