Giderek daha fazla kuruluşun, uygulama altyapılarında temel bloklar olarak açık kaynak bileşenlerini benimsediği bir dünyada, geleneksel SCA’ları açık kaynak tehditlerine karşı tam koruma mekanizmaları olarak düşünmek zordur.
Açık kaynak kitaplıkların kullanılması, tonlarca kodlama ve hata ayıklama süresinden tasarruf sağlar ve bu sayede uygulamalarımızın teslim süresini kısaltır. Ancak kod tabanları giderek daha fazla açık kaynaklı yazılımdan oluştukça, bir kod seçerken tedarik zincirinin kendisine yapılan saldırılar da dahil olmak üzere tüm saldırı yüzeyine saygı duymanın zamanı geldi. SCA platformu bağımlı olmak.
Tek Bağımlılığın Etkisi
Bir şirket açık kaynaklı bir kütüphane eklediğinde, muhtemelen sadece amaçladığı kütüphaneyi değil aynı zamanda birçok başka kütüphaneyi de ekliyordur. Bunun nedeni açık kaynak kitaplıkların oluşturulma şeklidir: Gezegendeki diğer tüm uygulamalar gibi, teslimat ve geliştirme hızını hedeflerler ve bu nedenle diğer insanların oluşturduğu kodlara (yani diğer açık kaynak kitaplıklara) güvenirler. .
Gerçek terimler, doğrudan bağımlılıktır (uygulamanıza eklediğiniz bir paket) ve bağımlılıklarınız tarafından dolaylı olarak eklenen bir paket olan geçişli bağımlılıktır. Uygulamanız A paketini kullanıyorsa ve A paketi B paketini kullanıyorsa uygulamanız dolaylı olarak bağlı olmak B paketinde.
B paketi savunmasızsa projeniz de savunmasızdır. Bu sorun, güvenlik açıklarını tespit etmeye ve düzeltmeler önermeye yardımcı olabilecek SCA’lar (Yazılım Kompozisyon Analizi platformları) dünyasının ortaya çıkmasına neden oldu.
Ancak SCA’lar yalnızca güvenlik açıkları sorununu çözer. Tedarik zinciri saldırılarına ne dersiniz?
Tedarik Zinciri Güvenliği En İyi Uygulamalar Kısa Notu
Yazılım tedarik zinciri saldırıları artıyor.
Buna göre Gartner’ın tahminleri2025 yılına kadar Kuruluşların %45’i etkilenecektir. Geleneksel Yazılım Kompozisyon Analizi (SCA) araçları yeterli değil ve şimdi harekete geçme zamanı.
Beş kritik tedarik zinciri saldırısı türünü keşfetmek ve riskleri daha iyi anlamak için yardımcı belgemizi indirin. Bunlara karşı kendinizi savunmak için, hile sayfasının sonunda listelenen en iyi 14 uygulamayı uygulayın.
VS’ye saldırır. Güvenlik açıkları
ile neyi kastettiğimiz açık olmayabilir. “bilinmeyen” risk. Farklılaşmaya dalmadan önce, güvenlik açıkları ile saldırılar arasındaki farkı ele alalım:
Bir güvenlik açığı:
- Kasıtlı olmayan bir hata (çok spesifik, karmaşık saldırıların dışında)
- CVE tarafından tanımlandı
- Kamuya açık veri tabanlarında kayıtlı
- Sömürüden önce savunma mümkün
- Hem normal güvenlik açıklarını hem de sıfır günlük güvenlik açıklarını içerir
- Örnek: Log4Shell bir güvenlik açığıdır
Tedarik zinciri saldırısı:
- Kasıtlı kötü niyetli bir faaliyet
- Spesifik CVE tanımlaması yok
- Standart SCA’lar ve genel veri tabanları tarafından izlenmiyor
- Tipik olarak zaten varsayılan olarak istismar edilmeye veya etkinleştirilmeye çalışıldı.
- Örnek: SolarWinds bir tedarik zinciri saldırısıdır
Bilinmeyen bir risk, neredeyse tanımı gereği, Bir saldırı tedarik zincirinde SCA platformunuz tarafından kolayca tespit edilemeyen.
SCA Araçları Yeterli Değil!
SCA araçları, sizi tedarik zinciri risklerinden koruma sorununu çözüyor gibi görünebilir, ancak tüm büyük tedarik zinciri saldırıları dahil olmak üzere bilinmeyen risklerin hiçbirini ele almazlar ve sizi altyapınızın en kritik parçalarından birinde açıkta bırakırlar.
Bu nedenle, sürekli gelişen tedarik zinciri ortamında bilinen ve bilinmeyen riskleri azaltmak için yeni bir yaklaşıma ihtiyaç duyulmaktadır. Bu kılavuz Tedarik zincirinizdeki bilinen ve bilinmeyen tüm riskleri gözden geçirir, olaylara yeni bir bakış açısı önerir ve tedarik zinciri riskleri dünyasına harika bir referans (veya giriş!) sağlar.
