2023年全球供应链安全的挑战与教训

主要要点

• 2023年可能面临全球供应链安全的挑战，企业和政府是否有更好的准备？
• 过去的供应链攻击如SolarWinds黑客事件和Log4j漏洞引发了对软件供应链安全的高度关注。
• 目前的立法动向和安全指导，尤其是关于软件物料清单（SBOM）的使用，将成为未来安全防护的一部分。

随著2023年的到来，我们希望今年不会再经历全球供应链安全危机，但这种可能性依然存在。如果发生这种情况，企业和政府是否能够比以往更好地准备应对？我们与Invicti的专家进行了深入讨论，分享过去的网络安全教训，并探讨未来的趋势。

软件供应链安全成为焦点

在发生之前，关于软件供应链攻击的风险和潜在影响主要为安全界所知。尽管SolarWinds事件的影响相对有限，但其却让企业和政府开始质疑技术系统的来源、组成和安全性，从而提高了网络安全的意识。

随著一年之后，该话题再度以及随后在Log4j库中出现的漏洞重新引起关注。相较于SolarWinds，Log4j的漏洞让很多使用企业Java软件的用户无法自信，因为他们很难确定自己的应用环境中是否存在Log4j。随著节假日的修补慌潮，很多组织发现，虽然应用开发大量依赖开源库，但很少有组织了解其软件的所有组成部分，并且更少有人知道它们的安全状态。

Log4j危机真正推动了立法和正式的网络安全指导的进展，随著，并得到了CISA的实用建议。当前针对软件、安全系统和关键基础设施的具体要求，主要集中在提高软件成分的可见性，以及定义一致的网络安全要求，尤其是针对联邦机构。

我们询问了Invicti专家有关当前应用安全计划的起源、进展和预期未来方向。

理解软件物料清单（SBOMs）

借鉴其他行业的做法，现在的联邦指导方针包括定义和维护软件物料清单，作为了解组成和依赖性的第一步。Invicti首席技术官和安全研究负责人FrankCatucci表示：“我认为SBOM是一个不错的开始。我们需要了解我们产品中的内容、生产许可和潜在的漏洞。”

即使假设你的物料清单是准确的，下一步就是定义实际应用这些清单以获益于安全的方式。“我们有一项行政命令，要求与联邦政府有业务往来的任何公司，不得在存在已知漏洞的情况下发布软件产品。”Catucci补充说。“尽管这仅限于关键和高严重性漏洞，而且目前仅针对联邦机构，但我可以预见这种思维方式的扩展，它将逐渐获得
traction。最终，你将看到内部企业政策甚至立法规定，如果你出售给我们的软件中包含已知漏洞，我们将不会将其放入我们的环境。”

不过，任何新规定都有可能存在组织只是完成表面合规