采用“左移”软件供应链安全思维的 CSO 可以确保组织更加强大、更具弹性
随着 2024 年中期的临近,大多数 CISO 和 CSO 已经确定并正在执行其组织今年的安全态势优先事项。
尽管去年随着 NIST、CISA和NSA等联邦指导方针和法规的出台,软件行业在加强软件供应链安全方面取得了重大进展,但安全团队仍然面临着软件供应链面临的几个迫在眉睫的威胁。人工智能/机器学习模型中恶意代码的猖獗使用、开源软件被盗、漏洞利用等问题继续困扰着组织。
为了确保其软件供应链尽可能的安全,安全专业人员必须致力于五个优先事项,包括:
-
信任但要验证开源代码
-
警惕安全解决方案和代码开发中的 AI/ML
-
不要对零日恐慌
-
将 SBOM 纳入安全策略中
-
采取“左移”战略
信任但验证开源代码
警惕安全解决方案和代码开发中的 AI/ML
人工智能的兴起促进了创新,但也引发了人们对安全的极大担忧。软件开发安全方面的疏忽可能会无意中将恶意代码引入 AI/ML 模型,并为攻击者进一步破坏组织创造入口。
安全主管必须信任但要核实开发人员的开源代码实践。安全风险往往始于开发人员开始从这些公共存储库下载代码的那一刻。
开发人员还可能使用从公共 AI/ML 源生成的代码,而不知道模型是否已被泄露。如果盲目信任 AI/ML 模型,这可能会给组织带来更多漏洞 — 所有来自 AI/ML 源的代码都必须经过审查。
不要对零日漏洞感到恐慌
将 SBOM 集成到安全策略中
SBOM 已成为安全领导者必须掌握的重要 DevSecOps 工具。它为用户提供了更快的识别方法,缩短了恢复时间,创建了更高效、更有效的代码修复,并在更严格的监管环境中增强了合规性。
威胁形势不断演变,‘向左移动’
原作者:莫兰·阿什肯纳齐
原文始发于微信公众号(河南等级保护测评):网络安全主管最需要关注的5大软件问题
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论