梁胜博士:软件供应链的安全挑战丨直播分享
作者: 日期:2022年06月24日 阅:1,590

时至今日,绝大多数的开发者并不是从零开始进行软件开发,而是在创建软件时依赖第三方资源。通过使用预先构建的库和开源组件,工程师们可以加快开发进程并且降低生产成本,从而快速将产品推向市场。

什么是软件供应链?

“供应链”这一术语通常用于制造业,是指制作和分发一个产品的人员和流程。例如,一家造飞机的公司会自己制造一些部件,也会从其他公司购买和组装部件。他们根据设计规格组装零件,然后对新飞机进行测试。通过测试后,新飞机会被交付到航空公司和飞行员手中。

现代软件的开发流程与此类似:一个软件是由多个组件组成,涉及到多个开发人员、团队和某家公司的内部与外部系统。并且像飞机一样,软件也需要通过压力测试。

因此,我们将软件供应链定义为在软件开发中所涉及到的组件、开发流程以及投入生产和最终软件产品分发的过程。

软件供应链所面临的安全挑战

研究显示,黑客正积极瞄准开源组件以伺机进入软件供应链。在过去的12个月内,针对开源工具的网络攻击增加了650%。

Sonatype 在《2021年软件供应链的现状》报告中指出,传统软件供应链攻击集中在公开披露的漏洞。在过去3年里攻击者已经改变了攻击策略并且频繁向连接全球供应链的开源项目注入恶意代码。

换言之,他们的目标是“上游”组件,或者是分发软件工作流程和更新的服务。这会影响到大量位于下游的终端用户,最终会牵涉到多家组织。

针对 SolarWinds 的攻击事件是绝佳佐证——通过对多个组件实施攻击进入该公司的网络和应用程序监控平台,从而对使用该系统的 30000 多个组织造成影响。在进入系统之后,攻击者将恶意代码插入该公司的软件中。当 SolarWinds 向其客户发送更新时,无意中授予了对客户账户的后门访问权限,这使得黑客不仅可以访问属于 SolarWinds 的系统,还可以访问每个安装该更新的公司的系统。

此外,Log4j 安全事件也备受关注。这些安全事件引起了业界对软件供应链安全的高度关注。时至今日,软件供应链安全已经成为许多企业IT公认的问题。尽管企业拥有许多安全供应商提供的产品和解决方案,包括 SAST、SCA 以及代码签名和验证工具,但大部分IT企业仍觉得,确保软件供应链安全的实践和流程,实施起来相当混乱和困难。

7月8日 上午11点,SUSE 工程与创新总裁梁胜博士将直播分享在确保软件供应链安全时所面对的众多挑战,以及现有的工具和技术如何应对这些问题。同时,还会一同探讨软件供应链安全行业在未来发展和革新的一些思路。

报名链接:https://meeting.tencent.com/dw/INIHrlJs6biV?ch=6ijsr6EbyZasE

梁胜博士介绍

梁胜博士毕业于中国科技大学少年班,拥有耶鲁大学计算机博士学位,其发展履历见证了半部云计算发展史。早期,作为Sun Microsystems公司核心主任工程师,梁胜博士领导设计和开发了Java语言中最为核心的JVM(Java虚拟机)。2008年,梁胜博士创立全球顶级云计算公司cloud.com,推出著名的云计算管理软件CloudStack,被誉为CloudStack之父。其后,Cloud.com被Citrix收购,梁胜博士成为Citrix System Inc.公司云平台首席技术官,也是Citrix公司首位华人CTO。2014年,梁胜博士创立了 RancherLabs.Inc,其旗舰产品 Rancher 是业界应用最为广泛的K8S管理平台,被Forrester评为“2020年多云容器开发平台领导厂商”以及“2018年全球容器管理平台领导厂商”,被Gartner评为“2017年全球最酷的云基础设施供应商”。Rancher 在全球拥有3亿的核心镜像下载量,以及40000家企业客户。

本文作者:Seal

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章