開源代碼在應用程序中變得越來越普遍，隨著開源軟件包數量不斷增加，不安全的組件越來越多地進入世界各地的軟件供應鏈。于是乎，保護軟件供應鏈的需求逐步增長，但企業應注意到在實施解決方案來管理風險時所犯的常見錯誤。日前，Sonatype發布了《The Top 10 Mistakes when Implementing a Secure Software Supply Chain Solution》（以下簡稱“《報告》”），為我們闡述了實施軟件供應鏈安全解決方案時的十大常見錯誤。

　　01、不關注開發人員的工作效率

　　對于希望保護其軟件供應鏈的企業而言，開發人員的工作效率是一項共同挑戰。開發人員需更換不安全的組件，這不會影響應用程序的初始開發，但安全性需要預先成為開發人員工作流程的一部分，這可以最大限度地降低應用程序部署后的風險。

　　02、未與 DevOps工具等集成

　　與DevOps工具等集成應成為企業的一項重要要求，其確保了軟件供應鏈安全可以完全集成到企業的開發環境中，而不僅僅是用作另一個獨立的應用程序，這樣可以有效保護軟件供應鏈安全。

　　03、不關注數據準確性和低誤報率

　　低誤報率對于提高開發人員的工作效率和增強對安全團隊的信任至關重要。安全誤報已經成為最大痛點之一，因為其主要任務是監控安全事件并及時調查和響應，如果他們被成百上千的虛假警報淹沒，無疑會分散其對真正威脅做出有效響應的注意力。

　　04、未掌握許可證信息

　　許可證信息也可能不準確或不合規。企業團隊需要及時了解每個組件的任何版本發布、補丁和許可證問題。

　　05、不阻擋不需要的組件

　　不安全的開源組件應該被阻止在軟件供應鏈之外。這包括漏洞、盜版和不兼容的許可證等問題。MIB集團的高級企業架構師表示其團隊能夠定義他們愿意承擔的風險級別，以阻止不需要的開源組件進入其開發生命周期。

　　06、不跨“孤島”進行規劃

　　在實施軟件供應鏈安全解決方案時，一個常見的錯誤是沒有跨企業內的“孤島”進行規劃。團隊需要確保每個人（包括安全、開發和 DevOps 團隊）都了解開源安全和許可證管理所需的新流程和措施。

　　07、不關注整個 SLDC 自定義策略的實施

　　另一個常見錯誤與跨各種應用程序類型實施不同類型的自定義策略有關。團隊需要決定是否要對具有更寬松許可證的組件實施更嚴格的標準，反之亦然。軟件企業在軟件開發生命周期 （SDLC） 中集成安全性也是保護組織免受數據泄露和其他網絡攻擊的關鍵。

　　08、在開發運營和 AppSec 團隊中沒有戰略和目標

　　企業需要意識到不實施特定軟件供應鏈戰略的潛在影響，這包括解決軟件開發團隊，安全團隊和其他利益相關者的安全問題。企業也應該清楚，沒有實施軟件供應鏈安全解決方案的目標可能會導致成本隨著時間的推移而增加。

　　09、未提高安全應用程序的上市速度

　　安全軟件供應鏈的改進使團隊能夠更快地生成安全應用程序，這可以加快新開發項目和服務的上市時間。除了安全優勢之外，此改進還有助于企業避免因不安全的組件違規和可能引入應用程序的漏洞而造成的重大責任。

　　10、未盡快實施相應的軟件供應鏈安全解決方案

　　企業盡早開始實施相應的軟件供應鏈安全解決方案非常重要。企業面臨來自商業開源組件的安全、許可和性能問題的重大風險如果不加以解決，這些問題可能會給開發團隊帶來更多的工作，同時也會增加成本。

　　長期專注于DevSecOps、軟件供應鏈安全領域的老牌企業孝道科技給出了其解決方案：新一代數字化應用安全平臺。平臺包含了孝道科技的三大安全原子能力，分別是IAST（交互式應用安全測試系統）、開源組件安全檢測與分析系統（SCA）以及RASP（應用的自適應免疫防護）。這三個能力之間有深度耦合以及智能協同，這意味著用戶在做交互式應用安全測試時，就可以同時有能力去針對漏洞的可達性、可利用性進行測試，相當于將組件安全和IAST有機的結合起來。

　　最早投身軟件供應鏈領域的安全企業懸鏡安全也給出了他們的解決方案。懸鏡安全憑借多年技術攻關首創專利級代碼疫苗技術和下一代積極防御框架，并通過“全流程軟件供應鏈安全賦能平臺+敏捷安全工具鏈”的第三代DevSecOps智適應威脅管理體系及配套的敏捷安全閉環產品體系、軟件供應鏈安全組件化服務，已幫助上千家用戶構筑起適應自身業務彈性發展、面向敏捷業務交付并引領未來架構演進的內生積極防御體系。

　　更多信息可以來這里獲取==>>電子技術應用-AET<<