<p>软件供应链比以往任何时候都更加脆弱。</p><p>软件供应链正受到前所未有的攻击。被 Gartner列为2022 年三大安全问题之一，软件供应链安全现在是网络安全团队、首席信息安全官和整个最高管理层的首要考虑的安全问题。</p><p>软件供应链几乎与组织中的每一个关键任务服务相连。所有面向互联网的服务都建立在第三方服务和基础设施的分层生态系统上。反过来，每个第三方都有自己的第三方，这些第三方又有自己的第三方，以此类推。这意味着您的供应商及其供应商的供应商(等等)的漏洞经常成为企业的漏洞。</p><p>软件供应链现在特别脆弱有几个原因，包括：</p><p>对黑客来说，数字供应链攻击是值得投资的。由于软件供应链的性质，复制一个漏洞可以覆盖非常广泛的攻击网。这成倍地增加了潜在的攻击收益和利用开发的ROI。<span style="color: inherit;">基于web的应用程序和服务的开发人员使用外部代码包加速开发。这些开发范例都有其固有的弱点，这些弱点的危险被传递到软件供应链上。</span></p><p><font color="#c24f4a">云服务安全</font>：<span style="color: inherit;">SaaS或PaaS管理的云服务在共享责任模型中运行。这在供应商之间形成了一个灰色地带，使得传统的网络安全解决方案难以识别第三方组件是否被篡改。</span></p><p>威胁参与者知道，利用软件供应链深处的漏洞要比直接攻击企业更容易。这就是为什么数字供应链现在是大多数企业增长最快的攻击面。</p><p>为了降低通过软件供应链载体受到攻击的风险，企业需要采取主动的威胁预防策略，并在<a href="https://www.woocoom.com/b030.html" target="_blank"><font color="#c24f4a">软件安全漏洞</font></a>造成更大安全问题之前及时发现和补救。</p><p><font color="#c24f4a">透明化资产</font>：<span style="color: inherit;">&nbsp;企业无法保护看不见的东西，因此要主动发现外面的东西。查找和映射已知、未知和孤立的面向外部的资产，包括通过影子 IT 实施引入的资产。考虑构成企业的软件供应链的不受控制的资产。</span></p><p><font color="#c24f4a">评估漏洞</font>：企业需要了解外部资产是易受攻击的，它们如何被利用，以及它们构成的风险的严重性。此外，通过安全检测来发现企业内部的安全漏洞及评估第三方软件中的安全漏洞，有助于降低软件供应链造成的安全风险。</p><p>确保不断扫描以识别外部攻击面或供应链中的新资产(例如，新的第三方供应商或第三方云存储提供商的变更)。然后，重新评估每个第三方资产、面向外部的互联网资产和分布式云基础设施。仔细检查数字供应链配置错误和漏洞的迹象。</p><p><font color="#c24f4a">做好应急方案</font>：针对外部攻击面和软件供应链，企业是否有基于漏洞优先级的可操作的、及时的缓解和补救计划和工作流程?</p><p><!--StartFragment--> <!--EndFragment--></p><p>软件供应链上任何一个环节的安全漏洞都很容易导致企业服务、用户、客户和品牌声誉受损。为了战胜软件供应链的攻击，企业需要采取主动的方法来解决整个外部攻击表面(包括第三方和外部)的漏洞。</p>