什么是软件供应链安全?

为了应对软件开发组织采取更多步骤来保护其应用程序的安全，攻击者不得不使自己的方法更有“创意”。代码重用和云原生方法的急剧而持续的增长，为他们提供了额外的角度来发动与他们意向目标稍微偏离的攻击。仅仅利用一个弱点就为威胁行动者打开了通往供应链的大门，他们能窃取敏感数据、植入恶意软件并控制系统——最近我们看到了很多这样的例子。

鉴于安全漏洞不断增加，拜登总统发布了一项行政命令，指示多个联邦组织的负责人围绕他们使用和操作的软件制定额外的安全指南。该命令旨在增强美国的网络安全状况，促使在全国范围内重新审查远远超出联邦层面规定的组织安全实践。

Solar Winds 是一家美国大型 IT 公司，近期成为供应链的受害者。一位前实习生的信息安全实践经验不足，暴露了一个关键的内部密码 (solarwinds123)。密码被泄露后，可疑的俄罗斯黑客便能访问 SolarWinds 用来对其旗舰产品之一 Orion 的更新进行组装的系统。从这里开始，攻击者将恶意代码插入原本合法的软件更新中，让它们能监控和识别 Orion 编译中涉及的运行进程，并替换源文件以包含 SUNBURST 恶意软件。估计有 18,000 名客户部署了 Orion 更新，SUNBURST 将信息发回给攻击者，这些信息被用来识别其它恶意软件、扩大的访问范围和进行间谍活动的目标。攻击的预期目标和受害者与入口点之间存在一定角度的偏离，这一事实使其成为现代软件供应链攻击的常见示例。

您可以采取关键的供应链安全实践和方法来降低供应链安全风险。

• 评估所用代码的安全性和可信度
  
• 确保开发人员始终编写安全的私有代码
• 安全地构建和部署代码
• 强化应用程序使用的数据传输方法
• 持续测试和监控部署的应用程序以应对威胁
• 为消费者提供 SBOM

Synopsys Black Duck®软件组成分析(SCA)通过自动识别应用程序和容器中的开源代码和第三方代码的安全性、质量和许可合规风险，为您的软件供应链提供完整的可视性。Black Duck使用多种扫描技术来识别开源依赖项，并提供优先级排序和修复指导，以及围绕漏洞、许可风险、组件运行状况和恶意软件检测的见解和可操作警报。Black Duck通过导入和导出功能简化了软件物料清单(SBOM)管理，使团队能够与客户、行业和法规要求保持一致，并遵守SBOM标准，例如SPDX和CycloneDx格式。

Coverity^® 是一款快速、准确且高度可扩展的静态应用程序安全测试 (SAST) 解决方案，可帮助开发和安全团队在软件开发生命周期 (SDLC) 的早期解决安全和质量缺陷，跟踪和管理整个应用组合的风险，并确保符合安全和编码标准。Coverity 使您能够无缝地保护私有代码，并确保“基础设施即代码”的安全性，从而使您的私有代码不会成为软件供应链中的薄弱环节。

Synopsys Web Scanner^™提供快速、简单的动态应用安全测试 (DAST)，针对开发人员需求进行了优化。Synopsys Web Scanner 通过无 UI 浏览器拦截和分析 JavaScript 以及 AJAX 请求，系统地测试 Web 应用程序的所有接入点，甚至如同新创建的表单，且填充数据。它检查 OWASP Top 10 Web 应用程序安全风险以及其它已知的安全弱点和漏洞，对如何消除检测到的问题，提供分步指导说明。监控应用程序行为是确保您免受潜在供应链威胁的重要方式。