数据表:软件供应链安全的CISO指南
攻击者最近将他们的注意力转移到渗透软件供应商开发环境上。一个被攻击的供应商在安装被攻击软件的升级、补丁或新版本时,可能会导致数以千计的受攻击客户。
如果您在组织中构建软件,或在开发过程中使用供应商的软件,则需要评估我mport控制确保来自公共存储库的代码是安全的,生成控件确保构建的工件是安全的,并且消耗的控制确保构件在您的环境中安全运行
本数据表为您提供了一份控制清单,可帮助您评估您的供应商和/或您自己的软件供应链是否真正安全可靠。
ciso的软件供应链安全清单
导入过程控制
大多数供应链攻击的目标仍然是破坏公共存储库。
虽然大多数组织对他们使用的公共存储库没有直接的控制,但有一些控制可以帮助创建安全的导入过程:
- 确认上传者/作者的身份没有突然改变
- 确认至少有两名评审员对提交的内容进行了评审
- 验证提交的时间戳是否有效
- 验证修订历史。如果没有历史记录,就可能表明包装有拼写错误。
- 验证URL/不可变引用以消除依赖关系混乱*
当构建系统错误地从公共存储库而不是私有存储库中引入类似名称的依赖时,会发生*
公共存储库通常能够很快地解决常见问题,例如输入错误。只需为不符合上述条件的包创建隔离服务,就可以有效地处理可疑的导入组件。
构建过程控制
您和您的供应商的开发环境现在是您客户的安全前线。以下列出的最佳实践有助于保护和保护开发环境:
- 构建是脚本化的,没有手动输入
- 构建由专用服务运行(而不是在开发人员的工作站上)
- 构建步骤在短暂的环境中执行,这些环境在步骤结束时被丢弃
- 构建步骤在独立的环境中独立执行
- 构建步骤是在没有公共网络访问的封闭环境中执行的
- 构建是可再生的
将这些控制付诸实践可以阻止常见的攻击向量,如被篡改的构建脚本、不受约束的包和试图包含远程资源的动态包。
使用过程控制
实现安全的导入和构建过程需要很长时间才能确保运行的代码也是安全的。但是,您仍然希望确保您消费的包是签名的,并且签名通过加密散列包含以下信息:
- 输出伪影
- 构建系统使用
- (即来源。,对构建脚本的不可变引用)
- 可传递依赖项(即依赖项的依赖项)
- 构建参数(如果有的话)
188bet金宝搏备用ActiveState平台:交钥匙供应链安全
实现上面列出的所有控制可能需要大量的时间和资源。大多数组织所依赖的快捷方式是选择一个受信任的供应商并专门使用他们的签名包。不幸的是,这种方法可能会在以下情况下被破坏:
- 开发人员直接从公共存储库安装包
- 攻击者在签署服务之前就会破坏受信任供应商的开发环境,例如SolarWinds和Codecov.
相反,请考虑使用ActGrand平台来保护Python、188bet金宝搏备用Perl和TCL供应链。它实现了这里列出的许多最佳实践,以便创建可验证的可复制构建,其中可以为每个工件建立出处(即原点)。
ActiveState平台可以提供开箱即用的端到端解决方案,节省组织大量的时间、资源和金钱,而不是将自定义代码和来自多个供应商的多个解决方案拼凑在一起。188bet金宝搏备用
您可以通过注册一个免费帐户来尝试188bet金宝搏备用ActiveState平台platform.activestate.com
关于ActiveState
ActiveState是全球数百万开发人员的实际标准,他们一直在使用我们的商业支持的、安全的188abc金博宝 20多年了。有了ActiveS188bet金宝搏备用tate平台,开发人员现在可以自动构建自己的Python、Perl或Tcl环境,适用于Windows、Linux或Mac-all,而不需要语言或操作系统专业知识。
如何为您的Python、Per188bet金宝搏备用l和Tcl项目尝试ActiveState平台?
开发人员可以注册我们的平台并使用它立即为他们的Python或Perl项目构建运行时环境。或者他们可以使用命令行安装它这里提供片段。
每个组织(或每个个人,如果个人使用)最多5个活动运行时是免费的。有关团队层级或企业定价的信息,请参阅我们的平台定价否则联系销售.
你的供应链安全有多成熟?看看您现有的开源安全性和完整性控制有多好,通过使用我们的快速,8个问题的自我评估.