与 2020 年相比,2021 年的软件供应链攻击增长了 300% 以上,因为攻击者专注于开源漏洞和中毒,代码完整性问题,并利用软件供应链流程和供应商信任来分发恶意软件或后门。
根据Aqua Security的 Argon Security部门的 2021 年软件供应链安全审查,软件开发环境的安全性仍然很低,而且重要的是,每家被评估的公司都存在漏洞和错误配置,可能使他们面临供应链攻击。用户的数字化转型为企业发展提供动能,但随之带来的安全挑战也日益凸显。
Argon 客户成功和销售高级总监 Eran Orzel 表示:过去一年的攻击数量和单一攻击的广泛影响凸显了应用程序安全团队面临的巨大挑战 不幸的是,大多数团队缺乏应对供应链攻击的资源,预算和知识此外,要解决这个攻击向量 AppSec 团队需要开发和 DevOps 团队的合作,你可以理解为什么这是一个艰难的过程要克服的挑战
该报告确定了供应链风险的三个特定领域使用带有易受攻击的开源代码的软件包,受损的管道工具以及将不良代码上传到源代码存储库
开源代码是几乎所有商业软件的一部分,并且许多正在使用的软件包都存在漏洞,升级到更安全版本的过程需要开发和 DevOps 团队的努力。包括:零信任如何落地,传统安全设备能否有效抵御未知威胁,公有云/私有云一体化中面临挑战,容器安全,如果在使用场景的不断扩展情况下提升自动化运维的效率等。PaloAltoNetworks提供独特创新的功能和专业服务帮助企业实现安全零信任架构的落地,使得您在网络,端点,云的场景实现便捷的安全落地,保护您在任何位置的用户,应用和数据,助力您业务的发展。。
攻击者可以利用 CI/CD 管道基础设施中的特权访问,错误配置和漏洞,从而提供对关键 IT 基础设施,开发流程,源代码的访问代码和应用程序。
将不良代码上传到源代码存储库会直接影响工件质量和安全状况这里的常见问题包括代码中的敏感数据,代码质量和安全问题,基础设施即代码问题,容器映像漏洞和错误配置
软件供应链流程是现代应用程序开发生命周期的核心组成部分让这种广泛的攻击向量保持开放,可能会严重降低公司的应用程序安全状况,可能会暴露敏感数据并在运行时为应用程序创建额外的入口点,奥泽尔补充道在许多情况下,安全团队无法看到这个过程,直到为时已晚,因为大多数公司在 CI/CD 工具和过程中没有预防能力
。郑重声明:此文内容为本网站转载企业宣传资讯,目的在于传播更多信息,与本站立场无关。仅供读者参考,并请自行核实相关内容。