如果在 1 到 10 的范围内,给软件供应链的风险打分,Snap 首席信息安全官 Jim Higgins 将其评为了“ 9.9 分”,而 10 分是最高风险。
由此可见,看来我们离“避免下一个 SolarWinds 攻击”还有很长的路要走。软件供应链正处于高风险之中,而且这个安全问题还很难解决,因为一个产品可能有数以万计的软件依赖项。 “这是一个物理问题,”Jim Higgins 在接受媒体采访时说,因为软件包依赖于许多其他第三方和开源软件库。并且只需要其中存在一个错误就可以使你的组织成为下一个警示故事。
Jim Higgins 表示,为提高供应链安全性,他们做的最重要的事情是了解自己的组织在使用什么软件,同时还要了解清楚整个供应链的依赖关系。他建议添加一个完整的正在使用的物料清单作为解决问题的起点,这样安全人员就知道要检查什么。“了解你的库存绝对是第一位的,”他说。“能解决 50% 的问题。”
InfoQ 也在之前的采访中,提到可利用 OpenSSF 提供的 SBOM,来帮助企业或开发者更好地了解自己所使用的开源软件到底包含哪些依赖项,从而轻松审查这些依赖项并随时加以更新。企业应该将软件物料清单(SBOM)作为软件供应链安全的抓手首先推进落地,通过软件物料清单(SBOM)的推广应用,牵引软件供应链上下游各个环节的协同,在此基础之上再采取更多举措逐步深化,实现软件供应链安全保障的目标。同时,软件安全企业的软件成分分析(SCA)工具能够方便的实现 SBOM 的自动生成功能,在目前软件开发普遍集成开源软件的情况下,对于提升软件透明度、开展安全分析具有重要作用。