软件供应链安全面临威胁

关键要点

• 82%的首席信息官（CIO）认为其组织的软体供应链易受网络攻击。
• 随着云原生开发的兴起以及DevOps方法的采用，安全挑战愈加复杂。
• 黑客正在针对软件构建和分发环境发起攻击，加剧了CIO的担忧。
• 代码和凭证相关的攻击呈增加趋势，软件供应链的安全性受到严峻挑战。

一项由 Venafi 于本周二发布的表明，82%的被调查首席信息官（CIO）表示，他们的组织在面对针对软件供应链的网络攻击时十分脆弱。

Venafi的研究人员指出，云原生开发的转变，加上DevOps流程带来的开发速度加快，使得与软件供应链安全相关的挑战变得更加复杂。

该研究基于1000名CIO的反馈发现，受到最近一些高知名度软件供应链攻击的启发，黑客的攻击力度正在加大，尤其是针对像和Kaseya这样的公司的攻击。随着这些攻击的增加，CIO对由此可能造成的严重业务中断、收入损失、数据盗窃及客户损害的担忧也日益加深。

“数字化转型使每个企业都成为了软件开发者，因此，软件开发环境也成为黑客们的主要攻击目标，”Venafi 威胁情报与业务发展副总裁 Kevin Bocek表示。“黑客发现，成功的供应链攻击，尤其是那些针对机器身份的攻击，效率极高且利润丰厚。”

最近，由于凭证和代码相关的攻击增加，软件供应链的安全性受到了越来越多的关注，BluBracket的产品负责人 Pan Kamal表示。他指出，软件开发的方式已经改变——由于需要不断加速软件部署，应用程序的安全性也变得愈加复杂，尤其是开源软件与第三方代码库的普遍使用。

“面对现实吧，”Kamal说。“代码无处不在。驱动我们的公用事业、水、石油和天然气、化学品以及交通工业控制系统配置和操作的云基础设施与操作技术都是基于代码的。基于软件的配置暴露了可被黑客利用的漏洞，代码中的漏洞使其成为最大的网络攻击表面。软件供应链由多个来自不同来源的离散软件组件组成，这些都是黑客针对关键基础设施和操作系统的目标。”

LARES Consulting 的首席运营官 Andrew Hay表示，CIO们认为为加快产品和服务上市而简化流程是正确的，但这不应归咎于工程师或开发者。Hay指出，在创业环境中，工程师并不是决定产品上市速度的人。

“这是由高管团队、销售、市场和产品管理团队来决定的，”Hay说。“他们是决定哪些功能被忽略或推迟以满足潜在客户和现有客户需求的利益相关者。对于软件安全产品和解决方案的投资时高时低。随着云计算的发展和对供应链安全的新关注，我们可以预期在接下来的时间里预算会增加，并且会出现新的产品或服务来追逐这一资金。”

主题 | 描述
—|—
研究来源 | Venafi
CIO对安全的担忧 | 82%的CIO认为组织的软件供应链脆弱
黑客攻击 | 针对软件构建和分发环境的攻击增加
安全挑战 | 云原生开发和DevOps带来的复杂性

“攻击者锁定的目标是关键基础设施，企业需要做好防范。” — Venafi 研究人员