科技裁员将安全软件供应链安全推向前沿 媒体
软件供应链安全的重要性
关键要点
软件供应链攻击呈指数级增长,开发者成为高价值目标。2023年,软件供应链的攻击风险将加大,特别是在技术公司裁员的背景下。开源生态系统的安全卫生措施将带来更多安全隐患需要解决。安全团队需与开发团队更紧密合作以应对不断变化的安全挑战。随着2023年的深入,回望2022年,我们会发现软件供应链周围的许多问题发生了剧烈变化。软件供应链攻击数量激增,并且市场条件的变化、技术公司裁员、监管变革以及疫情期间的数字化转型努力,共同形成了一个复杂的安全动态环境。
鉴于这些变化,出现了一些重要趋势。首先,由于软件供应链整体上理解不深甚至防御措施极其薄弱,攻击者开始注意到这一点。
过去一年,攻击数量以指数级增长,突显了软件开发者如今被视为高价值目标。近期发生的安全事件,比如 CircleCI、Okta、和 LastPass,皆源于软件开发人员的无防御工作站。此外,各种类型的攻击,如勒索病毒,开始与新的软件供应链交付渠道交叉,显然恶意行为者将开源生态系统视为一个初始的入侵点,进而升级为更复杂的攻击。
在2023年,随着资源的愈加紧张,软件供应链将变得更加吸引攻击者。技术公司面临裁员,而DevSecOps和应用程序安全团队已经被庞大的安全发现所压垮。这些团队现在还需实施新出现的合规要求,尤其是软件物料清单SBOM法案以及处理向所有客户和消费者交付完整清单所带来的法律风险与复杂性。这些团队同样还需应对新一波严重影响企业的软件供应链攻击。这将迫使公司找到在资源有限的情况下提升安全防护的解决方案。
考虑到攻击者迄今为止在通过这些方式渗透组织方面所取得的成功,预计软件供应链泄露事件将继续上升。此外,许多关于开源生态系统的新卫生倡议,比如 OSSF AlphaOmega计划,意味着我们将会发现更多如Log4J那样的安全问题,开发和安全团队需要及时修复。此外,潜在的监管变化最终将意味着数千小时的开发时间损失,特别是在许多现有的安全和开发程序所面临的自动化问题未得到解决的情况下。
鲸鱼加速器官方下载总的来说,过去一年出现了许多趋势,推动软件供应链安全走到了前台。安全环境的变化使许多组织不得不探索巨大的风险暴露、监管的多种变化,以及对其安全态势中以往被忽视的部分进行大量额外审查。这些变化,加上不断变化的市场条件,将意味着更紧缩的预算,要求安全部门在软件供应链防护策略上进行转变。
技术,例如具有高保真输出的自动化和政策执行,将在克服这些挑战中发挥重要作用。更重要的是,采用这些工具和政策将要求开发团队与安全团队更加紧密地协作。希望在今年,我们能看到这两个团队共同努力,真正实施强有力的DevSecOps。
Aaron Bray,Phylum联合创始人
