软件供应链安全问题触及高管层

企业逐渐意识到需要建立更好的软件供应链风险管理策略，并正采取行动应对这一攻击面上不断升级的威胁和漏洞。

前段时间，Coalfire委托网络安全及信息风险管理市场商业情报公司CyberRisk Alliance，对来自软件购买和软件生产公司的300位受访者进行了调查访问。

大部分受访者（52%）称自己“非常”或“极度”关注软件供应链风险，84%的受访者表示其所在企业可能分配至少5%的应用安全预算用于管理软件供应链风险。

7月19日发布的调研报告表明，软件购买方计划投资于采购计划指标和报告、应用程序渗透测试和软件物料清单（SBOM）设计与实现。

同时，软件开发商表示，计划投资安全代码审核及SBOM设计与实现。

调研还发现，由于对代码来源的担忧，59%的软件开发公司客户延迟了长达三个月才完成购买。

正如Coalfire副总裁Dan Cornell解释的，统计数据反映出网络安全风险和一般业务风险逐渐融合，表明企业认为软件供应链风险大到需要暂缓购买，直到这些风险能够得以解决。

“但在我们的现代商业环境中，延迟购买会增加商业风险，因为这样会推迟向利益相关者交付价值，并会为竞争对手提供抢先进入市场的机会。”他补充道，“因此，企业需要研究他们是如何应对供应链风险的。”

Cornell表示，如果他们能够充分应对这一风险，而且比竞争对手更迅速，那就意味着他们可以更快进入市场，更快开始为利益相关者创造价值。

“而如果他们不能，那么软件供应链网络安全风险就会增加错过机会的商业风险。”

高管层关注软件供应链安全

Cornell称，关于向前推进的一些重要发现围绕响应企业中谁关注软件供应链问题而展开。

软件买家方面，51%的高级管理层（首席级）提出了软件供应链问题，仅次于关注该问题的安全团队成员（60%）。

“我料到安全团队会提出这些问题，但是高级管理人员也关心这个问题就特别有意思了。”Cornell指出，“这很棒，是在此问题上取得重大进展的必要前提。很明显，安全团队关心这些问题，但是他们不负责订立企业策略和方针，是高管在负责。”

Cornell称，有了高管的参与，他们就会开始在预算分配中反映这一重点。

“然后，而且也只有到那时，才能以结构化和程序化的方式解决软件供应链问题。”

而在软件供应商方面，Cornell指出，71%的受访者表示，是DevOps部门在推进软件供应链决策，这么认为的受访者人数甚至超过了认为是安全团队的（63%）。

“这真的很令人鼓舞——我认为让安全团队以外的人来推动这些措施非常重要。”他解释道，“安全团队需要成为风险顾问，但DevOps团队才是选择其项目所用开源组件的人，并且还负责决定升级的内容和时间。”

Cornell补充称，看到他们严肃认真地对待这个问题，自己觉得这些问题有望开始得到解决。

DevOps团队构建风险管理中心

在Cornell看来，DevOps团队，或者更完善的DevSecOps团队，应该切实主管软件供应链风险。

“他们才是拥有软件开发过程的那些人，能看到编写的代码。”Cornell表示，“他们看到有哪些组件被纳入进来，看着软件逐渐构建成型，并让接下来的任何人都可以使用这个软件。”

鉴于拥有这一优势，DevOps团队能够以积极的方式影响企业的软件供应链安全状态，围绕软件中包含的开源代码及其升级时机实现良好的策略和实践。

“前瞻型DevSecOps团队可以利用其自动化和测试优势，着手推动更积极的组件升级生命周期和有助于减少技术债务的其他方法。”他解释道。

Cornell表示，他们也拥有可以帮助生成SBOM的工具，可以将之提供给软件消费者，使其能够管理自身供应链风险。

“解决软件供应链安全风险未必需要企业采用DevSecOps方法来进行软件开发。”

建立风险评估框架

今年5月，MITRE公布了一个信息与通信技术（ICT）原型框架，该框架定义和量化了包括软件在内的供应链风险和安全问题。

就在同一个月里，美国国家标准与技术研究院（NIST）更新了其解决软件供应链风险的网络安全指南，为各类利益相关者提供量身定制的建议安全控制集。

与此同时，越来越多的恶意黑客将供应链公司视为企业网络的切入点，其中就包括臭名昭著的朝鲜Lazarus团伙。