В мире, где все больше организаций используют компоненты с открытым исходным кодом в качестве основополагающих блоков в инфраструктуре своих приложений, трудно рассматривать традиционные SCA как полноценные механизмы защиты от угроз с открытым исходным кодом.
Использование библиотек с открытым исходным кодом экономит массу времени на кодирование и отладку и, тем самым, сокращает время доставки наших приложений. Но, поскольку кодовые базы все чаще состоят из программного обеспечения с открытым исходным кодом, пришло время учитывать все возможности атаки - включая атаки на саму цепочку поставок - при выборе SCA-платформы, от которой можно зависеть.
Влияние одной зависимости
Когда компания добавляет библиотеку с открытым исходным кодом, она, вероятно, добавляет не только ту библиотеку, которую намеревалась создать, но и множество других библиотек. Это связано с тем, как построены библиотеки с открытым исходным кодом: как и любое другое приложение на планете, они нацелены на скорость доставки и разработки и, как таковые, полагаются на код, созданный другими людьми, то есть на другие библиотеки с открытым исходным кодом.
Фактическими терминами являются прямая зависимость - пакет, который вы добавляете в свое приложение, и транзитивная зависимость - пакет, который неявно добавляется вашими зависимостями. Если ваше приложение использует пакет A, а пакет A использует пакет B, то ваше приложение косвенно зависит от пакета B.
И если пакет B уязвим, ваш проект тоже уязвим. Эта проблема привела к появлению SCAs - платформ анализа состава программного обеспечения, которые могут помочь в обнаружении уязвимостей и предложении исправлений.
Однако SCA решают только проблему уязвимостей. А как насчет атак на цепочку поставок?
Согласно прогнозам Gartner, к 2025 году это коснется 45% организаций. Традиционных инструментов анализа состава программного обеспечения (SCA) недостаточно, и сейчас самое время действовать.
Загрузите нашу шпаргалку, чтобы узнать о пяти типах атак на критически важные цепочки поставок и лучше понять риски. Примените 14 лучших практик, перечисленных в конце шпаргалки, чтобы защититься от них.
Атаки ПРОТИВ Уязвимости
Может быть неочевидно, что мы подразумеваем под "неизвестным" риском. Прежде чем мы углубимся в дифференциацию, давайте сначала рассмотрим разницу между уязвимостями и атаками:
Инструментов SCA недостаточно!
Может показаться, что инструменты SCA решают проблему защиты вас от рисков цепочки поставок, но они не устраняют ни один из неизвестных рисков, включая все основные атаки на цепочки поставок, и оставляют вас незащищенными в одной из наиболее важных частей вашей инфраструктуры.
Таким образом, необходим новый подход для снижения известных и неизвестных рисков в постоянно меняющемся ландшафте цепочки поставок. В этом руководстве рассматриваются все известные и неизвестные риски в вашей цепочке поставок, предлагается новый взгляд на вещи и приводится отличный справочный материал (или введение!). в мир рисков цепочки поставок.
Использование библиотек с открытым исходным кодом экономит массу времени на кодирование и отладку и, тем самым, сокращает время доставки наших приложений. Но, поскольку кодовые базы все чаще состоят из программного обеспечения с открытым исходным кодом, пришло время учитывать все возможности атаки - включая атаки на саму цепочку поставок - при выборе SCA-платформы, от которой можно зависеть.
Влияние одной зависимости
Когда компания добавляет библиотеку с открытым исходным кодом, она, вероятно, добавляет не только ту библиотеку, которую намеревалась создать, но и множество других библиотек. Это связано с тем, как построены библиотеки с открытым исходным кодом: как и любое другое приложение на планете, они нацелены на скорость доставки и разработки и, как таковые, полагаются на код, созданный другими людьми, то есть на другие библиотеки с открытым исходным кодом.
Фактическими терминами являются прямая зависимость - пакет, который вы добавляете в свое приложение, и транзитивная зависимость - пакет, который неявно добавляется вашими зависимостями. Если ваше приложение использует пакет A, а пакет A использует пакет B, то ваше приложение косвенно зависит от пакета B.
И если пакет B уязвим, ваш проект тоже уязвим. Эта проблема привела к появлению SCAs - платформ анализа состава программного обеспечения, которые могут помочь в обнаружении уязвимостей и предложении исправлений.
Однако SCA решают только проблему уязвимостей. А как насчет атак на цепочку поставок?
Шпаргалка по рекомендациям по обеспечению безопасности цепочки поставок
Количество атак на цепочки поставок программного обеспечения растет.Согласно прогнозам Gartner, к 2025 году это коснется 45% организаций. Традиционных инструментов анализа состава программного обеспечения (SCA) недостаточно, и сейчас самое время действовать.
Загрузите нашу шпаргалку, чтобы узнать о пяти типах атак на критически важные цепочки поставок и лучше понять риски. Примените 14 лучших практик, перечисленных в конце шпаргалки, чтобы защититься от них.
Атаки ПРОТИВ Уязвимости
Может быть неочевидно, что мы подразумеваем под "неизвестным" риском. Прежде чем мы углубимся в дифференциацию, давайте сначала рассмотрим разницу между уязвимостями и атаками:
Уязвимость:
- Непреднамеренная ошибка (помимо очень специфических изощренных атак)
- Идентифицируется CVE
- Занесен в общедоступные базы данных
- Возможная защита перед эксплуатацией
- Включает как обычные vuln, так и нулевые дневные
- Пример: Log4Shell - это уязвимость
Атака на цепочку поставок:
- Преднамеренная вредоносная деятельность
- Отсутствует конкретная идентификация CVE
- Не отслеживается стандартными SCA и общедоступными базами данных
- Обычно его уже пытались использовать или активировать по умолчанию.
- Пример: SolarWinds - это атака на цепочку поставок
Инструментов SCA недостаточно!
Может показаться, что инструменты SCA решают проблему защиты вас от рисков цепочки поставок, но они не устраняют ни один из неизвестных рисков, включая все основные атаки на цепочки поставок, и оставляют вас незащищенными в одной из наиболее важных частей вашей инфраструктуры.
Таким образом, необходим новый подход для снижения известных и неизвестных рисков в постоянно меняющемся ландшафте цепочки поставок. В этом руководстве рассматриваются все известные и неизвестные риски в вашей цепочке поставок, предлагается новый взгляд на вещи и приводится отличный справочный материал (или введение!). в мир рисков цепочки поставок.
