支持軟件供應(yīng)鏈安全所需的10個安全工具類別

責(zé)任編輯:cres

作者:Ericka

2023-06-13 10:35:07

來源:企業(yè)網(wǎng)D1Net

原創(chuàng)

軟件供應(yīng)鏈安全技術(shù)正在迅速發(fā)展,如果首席信息安全官只關(guān)注軟件組合分析和軟件材料清單,他們只能得到部分的解決方案。在本文中,首席安全官為規(guī)劃軟件供應(yīng)鏈安全解決方案堆棧提供了入門清單。

隨著安全領(lǐng)導(dǎo)者在建立軟件供應(yīng)鏈安全計劃方面取得更多進(jìn)展,他們在可用的工具方面都會面臨好消息和壞消息,而無論其好壞,技術(shù)都在迅速發(fā)展。
 
對于快速發(fā)展的軟件供應(yīng)鏈安全技術(shù)來說,好消息是,快速的創(chuàng)新步伐提供了越來越多的機(jī)會,可以提高軟件產(chǎn)品組合中大量組件和代碼的可見性和透明度。
 
壞消息是,實驗和創(chuàng)新同時朝著許多不同的方向發(fā)展,安全工具領(lǐng)域是一個令人困惑的混合體,混雜著不斷發(fā)展的各種類別和利基產(chǎn)品。
 
其中一些是更傳統(tǒng)的應(yīng)用程序安全工具,它們正在向更適合開發(fā)人員的方向發(fā)展。還有一些是傳統(tǒng)的開發(fā)工具,它們增加了以安全為中心的控制和功能,以應(yīng)對供應(yīng)鏈風(fēng)險的挑戰(zhàn)。還有一些來自DevSecOps的領(lǐng)域,旨在促進(jìn)開發(fā)和安全領(lǐng)域之間的相互協(xié)作。
 
Tanium公司的產(chǎn)品顧問Tom Going表示:“人們很難對軟件供應(yīng)鏈的安全有一個清晰的認(rèn)識,原因之一是供應(yīng)鏈中有很多環(huán)節(jié)可能出錯。企業(yè)可能會在軟件中直接引入漏洞,就像幾年前的SolarWinds數(shù)據(jù)泄露事件一樣,在Log4j等常見庫中存在漏洞,甚至像一個受損的證書頒發(fā)機(jī)構(gòu)這樣的東西。”
 
軟件供應(yīng)鏈安全沒有黃金標(biāo)準(zhǔn)
 
雖然有一些軟件供應(yīng)鏈安全產(chǎn)品棧和平臺開始在市場上整合,但這些產(chǎn)品的功能組合卻多種多樣。
 
這些平臺傾向于圍繞的主要工具類別是軟件組合分析(SCA)和生成軟件材料清單(SBOM)的工具,即現(xiàn)代軟件的所謂“成分列表”。雖然SCA和SBOM傾向于構(gòu)成許多軟件供應(yīng)鏈安全工具的支柱,但對于試圖構(gòu)建路線圖以支持管理供應(yīng)鏈風(fēng)險全面計劃的首席信息安全官來說,這確實只是冰山一角。
 
Gartner公司的高級主管兼應(yīng)用安全分析師Dale Gardner表示,“當(dāng)人們關(guān)注供應(yīng)鏈安全時,他們關(guān)注的是使用SCA等工具,他們關(guān)注的是SBOM。這些都是解決方案中非常重要的部分,但它們實際上只是一種不全面的解決方案。”
 
這還涉及許多其他活動部分,包括機(jī)密管理、依賴關(guān)系映射和管理、持續(xù)集成(CI)/持續(xù)交付(CD)管道安全性、有效的存儲庫管理等。大多數(shù)專家都認(rèn)為,安全團(tuán)隊將很難從一家供應(yīng)商那里找到他們需要的一切。
 
咨詢機(jī)構(gòu)Coalfire公司的應(yīng)用程序安全高級經(jīng)理Michael Born解釋說:“我認(rèn)為,沒有一家供應(yīng)商能夠以滿足所有企業(yè)需求的方式處理與軟件供應(yīng)鏈安全相關(guān)的所有挑戰(zhàn)。”他表示,缺乏整合并不一定是件壞事。他說,“這可能會使企業(yè)陷入與供應(yīng)商鎖定相關(guān)的風(fēng)險,并且可能意味著企業(yè)成熟或變化的速度比供應(yīng)商能夠跟上的速度快。”
 
這種碎片化不僅是來自幾個不同技術(shù)角度(以開發(fā)為中心的工具、以操作為中心的模具、以安全為中心的工具)的有機(jī)創(chuàng)新的結(jié)果,而且還有一系列不同的用例。
 
德勤公司的網(wǎng)絡(luò)風(fēng)險安全供應(yīng)鏈負(fù)責(zé)人Sharon Chand解釋說:“我們必須非常具體地了解正在談?wù)摰娘L(fēng)險或用例,以便能夠找到合適的軟件解決方案或整體解決方案堆棧來解決這些問題。因為我真正需要什么樣的解決方案將取決于在軟件供應(yīng)鏈安全場景中的位置。如果我是軟件生產(chǎn)者,那么看起來與軟件消費者不同。通常情況下,在整個供應(yīng)鏈生命周期的某些階段,每個人都會同時處于這兩種狀態(tài)。”
 
企業(yè)如何將它們整合在一起將高度依賴于他們的用例、基礎(chǔ)設(shè)施,以及他們團(tuán)隊的技能和文化的構(gòu)成。不幸的是,目前還沒有簡單的方法來構(gòu)建這個堆棧。
 
安全工具的十個類別
 
下面的安全工具列表為首席信息安全官提供了一個很好的入門清單,用于規(guī)劃適合他們的軟件供應(yīng)鏈安全解決方案堆棧。這份名單雖然并不詳盡,而且可能很快就會改變,但是它包含了主要的工具類別和網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者可能想要考慮的軟件供應(yīng)鏈安全路線圖的特性。
 
(1)SCA和SBOM的生成
 
SCA工具目前最為人所知的是它們在軟件供應(yīng)鏈安全中的作用,但這一類別的起源故事開始于更為平淡無奇的領(lǐng)域。這些工具最初是為了幫助開發(fā)團(tuán)隊在其構(gòu)建中跟蹤其開源組件的使用情況,以處理許可合規(guī)性。隨著供應(yīng)鏈安全開始獲得更多關(guān)注,SCA工具內(nèi)置了對與跟蹤組件相關(guān)的漏洞和安全風(fēng)險的更深入分析和管理,并成為企業(yè)生成SBOM和管理其開源使用的主要方法之一。Mend.io(前身為WhiteSource)、FOSSA和Synopsys Black Duck就是這種進(jìn)化路徑的主要例子。
 
SCA并不是生成SBOM的唯一選擇。其他一些SBOM生成方法包括使用命令行界面(CLI)工具,例如Cyclone DX CLI和SPDX Tool,運行時分析,例如Rezilion;或二進(jìn)制分析,如ReversingLabs。但SCA往往是那些構(gòu)建軟件供應(yīng)鏈解決方案堆?;蛏鷳B(tài)系統(tǒng)的供應(yīng)商的賭注。其中一些是SCA供應(yīng)商,他們通過內(nèi)部開發(fā)或收購擴(kuò)展到下面描述的其他工具類別。其他公司可能從一開始就考慮到了開發(fā)人員的心態(tài),包括混合供應(yīng)鏈工具中的SCA;Snyk就是一個很好的例子。Synopsys和ReversingLabs最近宣布了更多的合作伙伴關(guān)系,在不將客戶鎖定在單一平臺的情況下擴(kuò)大了供應(yīng)鏈安全能力。
 
(2)代碼掃描和滲透測試
 
保護(hù)軟件供應(yīng)鏈的核心是一個應(yīng)用程序安全問題,因此傳統(tǒng)的應(yīng)用程序安全代碼掃描工具將在這個解決方案堆棧中發(fā)揮重要作用。靜態(tài)應(yīng)用程序安全測試(SAST)、動態(tài)應(yīng)用程序安全測試(DAST)、交互式應(yīng)用程序安全測試 (IAST)和運行時應(yīng)用程序掃描保護(hù)(RASP)工具,以及明智地使用滲透測試,可以幫助企業(yè)測試他們自己的內(nèi)部代碼,并提供對第三方代碼的進(jìn)一步檢查,以作為應(yīng)對風(fēng)險的后盾。Coalfire的Born說,“使用常見的SCA或SBOM測試工具和技術(shù)可能會檢測不到這些風(fēng)險。”
 
他說,通過全面的代碼掃描來維持多層安全是至關(guān)重要的,滲透測試的抽查也是如此。
 
他說:“SCA和SBOM產(chǎn)品依賴于已知的、先前發(fā)現(xiàn)的漏洞,而徹底的應(yīng)用程序滲透評估可能會在檢查第三方庫和框架時識別出脆弱的代碼使用情況,而這些代碼以前可能在其他地方?jīng)]有報告過。”
 
(3)SBOM的豐富和聚集
 
當(dāng)企業(yè)創(chuàng)建他們自己的SBOM并從他們的供應(yīng)商那里攝取SBOM時,這些工件的聚合、豐富和管理將成為操作它們的一個日益重要的部分。例如,添加漏洞可利用性交換(VEX)信息將成為情景化SBOM的一個日益重要的部分。類似地,這些工具可以潛在地豐富SBOM信息的數(shù)據(jù)包括組件健康檢查,例如OpenSSF記分卡數(shù)據(jù)和CISA已知被利用漏洞(KEV)數(shù)據(jù)庫中的漏洞預(yù)測評分系統(tǒng)(EPSS)分?jǐn)?shù)。
 
此外,簡單地匯總軟件組合和業(yè)務(wù)線中的SBOM信息將是網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者日益關(guān)注的問題。這仍然是一個新興的領(lǐng)域,尚未真正整合成行業(yè)分析師確定的類別,因此首席信息安全官必須在SCA+類型的工具、開源工具和新平臺中尋找這些功能,這些工具正在開辟他們自己的類別定義路徑。這些例子包括Cybellum、Anchore和Rezilion,以及Bomber等新的開源工具。
 
(4)機(jī)密管理
 
共享機(jī)密掃描和管理正在從一個獨立的工具類別快速轉(zhuǎn)變?yōu)橐粋€功能,該功能正在融入軟件供應(yīng)鏈安全工具的各個方面。這是因為在開發(fā)和實際環(huán)境中,針對嵌入在源代碼、配置文件和基礎(chǔ)設(shè)施代碼中的機(jī)密數(shù)據(jù)的網(wǎng)絡(luò)攻擊活動仍然猖獗,因此迫切需要解決這個問題。
 
Gartner公司在最近發(fā)布的一份報告中建議:“憑證文件、私鑰、密碼和API令牌等機(jī)密信息不應(yīng)提交給源代碼控制存儲庫。使用機(jī)密管理工具安全地存儲和加密,實施訪問控制,并管理秘密(即創(chuàng)建、輪換和撤銷)。”
 
這是一個基本的工具組件,因為網(wǎng)絡(luò)攻擊者可以利用共享的秘密來完全破壞企業(yè)軟件供應(yīng)鏈的完整性。
 
(5)依賴關(guān)系管理和映射
 
依賴關(guān)系管理和分析是另一個有點模糊的類別,與SCA和SBOM聚合等其他工具類別高度重疊。但這是值得呼吁的,因為它觸及了一些最棘手的軟件供應(yīng)鏈安全問題的核心。
 
安全倡導(dǎo)者對當(dāng)今SBOM狀態(tài)的一些最主要抱怨是,它們?nèi)匀浑y以傳達(dá)與列舉的軟件相關(guān)的可傳遞依賴關(guān)系。
 
首席信息安全官和他們的團(tuán)隊將需要更好的方法來規(guī)劃和管理隱藏的依賴關(guān)系網(wǎng)絡(luò),這些依賴關(guān)系網(wǎng)絡(luò)橫跨他們的應(yīng)用程序、API、CI/CD管道組件和作為代碼的基礎(chǔ)設(shè)施。一些可用的工具包括依賴映射工具,性能和彈性利益相關(guān)者也依賴于這些工具,例如Datadog和Atlassian。此外,SCA和SBOM管理工具經(jīng)常將這些特性合并到它們的組合中。最近在這方面打入市場的一個值得注意的參與者是EndorLabs公司,該公司于2022年10月脫離隱身模式,將自己描述為“依賴生命周期管理”解決方案。上個月,該公司進(jìn)入了RSA大會創(chuàng)新沙盒的決賽。
 
(6)受信任的存儲庫和注冊中心
 
雖然工件存儲庫和容器注冊表本身不是安全工具,但是將它們與規(guī)范的策略和過程一起使用可以在管理供應(yīng)鏈風(fēng)險中發(fā)揮重要作用。建立可信的工件存儲庫和容器注冊中心是為開發(fā)人員建立“安全護(hù)欄”基礎(chǔ)設(shè)施的基本部分。提供經(jīng)過批準(zhǔn)的組件的集中來源是一種主動的方法,可以避免出現(xiàn)問題,并對進(jìn)入企業(yè)軟件的內(nèi)容進(jìn)行健全的治理。
 
Gartner公司的分析師寫道:“這些存儲庫是經(jīng)過批準(zhǔn)和審查的工件和軟件組件的可信來源。這實現(xiàn)了對軟件成分的集中管理、可見性、可審核性和可追溯性。”
 
(7)安全代碼簽名
 
隨著開發(fā)人員在其生命周期內(nèi)提交和部署軟件,代碼簽名正日益成為確保代碼和容器完整性的最佳實踐。這個過程不僅對于建立強大的內(nèi)部控制措施以防止篡改至關(guān)重要,而且對于建立客戶對交付給外部客戶的產(chǎn)品的信任也至關(guān)重要。當(dāng)然,代碼簽名證書是軟件供應(yīng)鏈攻擊者青睞的目標(biāo),因此首席信息安全官及其團(tuán)隊需要確保他們選擇正確的工具并建立控制措施,以確保他們的代碼簽名過程真正安全。這一類別中的一些主要工具包括Garantir、Keyfactor、CircleCI、Cosign和Venafi。
 
(8)CI/ CD管道安全性
 
持續(xù)集成(CI)/持續(xù)(CD)交付管道是軟件“工廠”的一部分,開發(fā)人員依靠它來生產(chǎn)代碼,因此,它是整個供應(yīng)鏈的內(nèi)在組成部分。因此,加強這些環(huán)境的安全工具是健全的供應(yīng)鏈安全計劃的重要組成部分。已經(jīng)解決的機(jī)密管理問題是這個類別的一個重要方面。其他包括CI/ CD策略和治理管理,就像Apiiro和Cycode這樣的公司正在開發(fā)產(chǎn)品,以及實現(xiàn)良好的特權(quán)訪問控制和強身份驗證。
 
(9)第三方風(fēng)險管理平臺
 
到目前為止,大多數(shù)工具主要集中于深入挖掘內(nèi)部開發(fā)軟件中使用的第三方組件。但是,對于那些沒有太多可見性的第三方商業(yè)軟件怎么辦?這就是第三方風(fēng)險管理(TPRM)工具和流程發(fā)揮作用的地方。即使SBOM要求在未來幾年內(nèi)競相推動軟件供應(yīng)商提高透明度,但目前大多數(shù)企業(yè)都很盲目。雖然TPRM風(fēng)險評分工具(例如SecurityScorecard或RiskRecon)不能完全解決這個問題,但它們至少可以作為風(fēng)險的代理,可能會讓企業(yè)確定他們需要與特定供應(yīng)商和軟件提供商合作,以深入挖掘他們的代碼。
 
德勤公司的Chand表示:“我認(rèn)為TPRM產(chǎn)品可以發(fā)揮作用的地方是,如果存在風(fēng)險,我們能夠識別風(fēng)險,也許這就是我真正希望將精力集中在SCA和理解軟件組成的原因。它成為了一種風(fēng)險緩解技術(shù),而不是我在生產(chǎn)或購買的所有軟件中普遍使用的解決方案。”
 
她說,軟件供應(yīng)鏈安全領(lǐng)域仍然缺乏應(yīng)用安全風(fēng)險和業(yè)務(wù)風(fēng)險之間的可靠工具聯(lián)系,她認(rèn)為下一個重大創(chuàng)新機(jī)會可能在于供應(yīng)商和從業(yè)者如何將TPRM平臺和更廣泛的供應(yīng)鏈風(fēng)險管理(SCRM)流程與來自SBOM和CI/CD管道的數(shù)據(jù)聯(lián)系起來。
 
(10)IaC安全和CNAPP
 
用于測試和部署代碼的底層基礎(chǔ)設(shè)施也是代碼,是供應(yīng)鏈的基本部分。因此,首席信息安全官應(yīng)該考慮至少將基礎(chǔ)設(shè)施即代碼(IaC)掃描和安全工具作為其更廣泛的供應(yīng)鏈安全計劃的一部分。這些工具傾向于跨越軟件供應(yīng)鏈安全工具和云原生應(yīng)用程序保護(hù)平臺(CNAPP)之間的界限,這可以說是開始進(jìn)入云安全和其他安全運營領(lǐng)域。但是云原生應(yīng)用程序保護(hù)平臺(CNAPP)提供了很多其他的供應(yīng)鏈安全支持,特別是在容器可見性和運行時安全性方面。容器是軟件供應(yīng)鏈中主要的攻擊目標(biāo),在運行時采用的安全措施可以在工作負(fù)載進(jìn)入生產(chǎn)環(huán)境之后為其提供支持。
 
關(guān)于企業(yè)網(wǎng)D1net(r5u5c.cn):
 
國內(nèi)主流的to B IT門戶,同時在運營國內(nèi)最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_-信眾智(www.cioall.com)。同時運營19個IT行業(yè)公眾號(微信搜索D1net即可關(guān)注)
 
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需在文章開頭注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號