软件供应链正面临威胁,这种影响波及各类组织。SolarWinds 和 MOVEit 等安全事件敲响了警钟,凸显了加强可视性和保护的必要性。
加拿大通用银行首席风险和安全官 Adam Ennamli 表示:"当今软件开发的现实是,我们都在构建层层叠加的系统,即使作为技术专业人士也无法完全掌握。现在几乎每个应用程序都是第三方组件的复杂拼接。如果要保持市场竞争力,这是不可避免的。问题在于,虽然这加快了开发周期,但也意味着你在承担未知风险。"
有些团队是在关键的开源组件突然停止维护或出现严重漏洞时,才意识到软件供应链风险的严重性。另一个因素是某些开源项目被故意投毒。同样,互联网上也在增加错误和误导性内容,这些内容会被大语言模型作为训练数据使用。
Ennamli 说:"供应链安全不能仅仅作为安全评估清单上的一项,因为它关系到产品可靠性的根本,也就是客户信任的基础。你需要了解环境中运行的代码、维护者是谁以及更新方式。这不仅仅是扫描软件包,而是要理解应用程序所依赖的整个生态系统。"
CIO 和 CISO 面临的一个主要挑战是数据流的可视性。
全球系统集成商 Myriad360 的现场 CISO Jeremy Ventura 表示:"由于组织环境不断变化和扩展,了解所有第三方供应商、资源和软件组件可能是一个重大障碍。这带来了数据问题:谁可以访问我的数据?我拥有什么类型的数据?我的数据在哪里发送和接收?什么时候访问我的数据?这些都是技术领导者每天应该问自己的问题。"
供应链风险是一项团队运动
开发人员不能独自管理风险,CISO 也不能。
Ventura 说:"有效保护、防御和应对供应链事件应该是多个部门的协作,包括安全、IT、法务、开发、产品等。不应该由单个部门完全负责整个供应链项目,因为它涉及组织内的多个业务单位。通常由 CISO 或安全团队牵头,因为网络安全风险应该被视为业务风险。"
最常见的错误之一是产生虚假的安全感。
Ventura 说:"'如果以前没有出现过供应链问题,为什么现在要修复?'这种思维方式会导致自满,使企业不够重视网络安全。另一个常见错误是组织过度依赖供应商评估,供应商可能声称自己是安全的,但实际上并未实施严格的控制措施。完全相信评估结果而不进行验证可能会导致严重问题。"
如果不关注供应链风险,组织将面临数据泄露、财务损失、合规处罚以及商业和声誉损害的高风险。据 Ventura 介绍,最近一家医疗机构因其供应商遭受攻击而发生数据泄露,导致患者数据丢失,最终受到合规和监管处罚。
"我的建议是关注数据可视性——包括组织数据、客户数据以及可能访问这些数据的第三方,"Ventura 说。"投资能够提供全面软件物料清单 (SBOM) 的解决方案用于审计,并持续对软件供应链供应商进行风险评估。最后,确保安全是多个内部部门共同承担的责任。"
加拿大通用银行的 Ennamli 表示,有效的供应链管理需要四个要素:
"所有这些组件需要协调一致地运作,否则要么会行动太慢而让开发人员感到沮丧,要么会行动太快而失去信任,"Ennamli 说。
JAVLIN Invest 的 CTO 兼首席产品官 Joseph Leung 表示,随着产品规模扩大和市场老化,第三方软件库中的漏洞本质上很难追踪。
"我们使用 OWASP Dependency-Check 等工具自动跟踪依赖关系,但不能完全依赖它。根据我的经验,管理威胁的最佳投资回报是让每个人都承担安全责任,"Leung 说。"在开发流程中制定审查库的政策并定期进行安全审查,这两个简单的流程可以在团队中培养以安全为重点的文化。简而言之,关键是在产品团队所有成员中创造最大的可视性。"
问题的根源在于组织缺乏对其应用程序中使用的第三方组件的洞察。
"漏洞披露的快速节奏可能会让团队不堪重负,"Leung 说。"资源分配、遗留系统和缺乏高管支持可能会进一步使安全工作复杂化。"
全方位建筑和工程公司 American Structurepoint 的 IT 和运营总监 Adam Martin 表示,跨职能协作至关重要。
"IT 和开发团队必须主动扫描和更新系统,而法务和采购部门应该审查供应商的安全实践,"Martin 说。"重要的是,高管层要认同优先考虑软件供应链安全的必要性。"
总结
组织需要更好地了解其应用程序中包含的内容。没有这种可视性,可能会导致各种不良后果,其中最重要的是潜在的责任风险。SBOM 和软件组成分析解决方案很有帮助。同样重要的是完善内部流程,创造重视软件和依赖项可视性的协作文化。
好文章,需要你的鼓励
开源加密初创公司ZamaSAS宣布完成5700万美元B轮融资,专注于为区块链和AI应用构建全同态加密技术以保护隐私。本轮融资由BlockchangeVentures和PanteraCapital共同领投,使公司总融资超过1.5亿美元,估值突破10亿美元。同时,Zama推出保密区块链协议公开测试网,允许开发者在以太坊上构建私密通信应用。
新加坡国立大学研究团队开发了SPIRAL框架,通过让AI与自己对弈零和游戏来提升推理能力。实验显示,仅训练AI玩简单扑克游戏就能让其数学推理能力提升8.6%,通用推理提升8.4%,且无需任何数学题目作为训练材料。研究发现游戏中的三种推理模式能成功转移到数学解题中,为AI训练提供了新思路。
英国网络铁路公司、Neos Networks和Freshwave联合启动"触达项目",旨在消除英国主要铁路干线上的信号盲区。该项目将公私合营模式相结合,预计为纳税人节省约3亿英镑。项目将部署1000公里超高速432芯光纤电缆,覆盖东海岸主线等多条线路,并在12个主要车站提供4G/5G室内连接,在57个隧道中部署4G移动连接。新网络将大幅提升铁路通信基础设施能力,支持轨道传感器和监控应用,为乘客提供更快更可靠的列车服务。
同济大学团队开发的GIGA-ToF技术通过融合多帧图像的"图结构"信息,创新性地解决了3D相机噪声问题。该技术利用图像间的不变几何关系,结合深度学习和数学优化方法,在合成数据集上实现37.9%的精度提升,并在真实设备上展现出色泛化能力,为机器人、AR和自动驾驶等领域提供更可靠的3D视觉解决方案。