2025 年软件供应链端到端安全防护

引言软件供应链安全(SSCS)已成为网络安全 领 域 的 焦 点 议 题 ， 随 着 软 件 供 应 链(SSC)攻击事件频发，其重要性与日俱增。Gartner报告称，在2023年，61%的美国企业遭受了SSCS攻击。Gartner预测，到2031年，软件供应链攻击造成的损失将从2023年的460亿美元飙升至1,380亿美元。此类攻击针对软件供应链中的各个环节，包括基础架构、代码库和软件漏洞。2024年初，黑客利用SSC漏洞造成严重破坏，如DockerHub攻击。 黑客向DockerHub植入了400多万个无镜像存储库，伪装成有用内容。JFrog安全研究人员发现，这些存储库托管垃圾邮件、推广盗版内容并将用户重定向到恶意软件和钓鱼网站。2024年末，发达国家的一些重要系统几乎被黑客攻陷。仅仅扫描源代码是不够的，安全工作者还应扫描构成源代码基础的二进制文件。为什么软件供应链安全问题比以往更加严峻？首先，软件供应链的规模比以往更大，且仍在持续增长，因此面临的安全风险越来越多。其次，更多开源组件被用于软件开发。越来越多的组织依赖第三方开发软件，漏洞数量随之增加，促使第三方风险管理成为SSCS的关键。 这项调查于2024年6月进行，受访者涵盖121位网络安全和IT专业人员，他们均参与过所在组织的网络安全决策。本调查旨在了解他们对软件供应链安全的见解、意见和担忧。受访者表示，他们未能充分重视软件供应链安全问题。许多组织在供应链的可视性和可控性方面仍存在不足，亟需借助更高效的工具和策略来加强安全防护。软件供应链安全的底线是什么？首先，对供应链有全面的可视性，掌握各阶段动态，无论基础架构规模如何，都能对其进行控制。 近期发生的网络安全事件呈指数级增长，这也表明网络犯罪分子在发起软件供应链攻击活动时越来越熟练且更有针对性。因此，政府、组织和开源社区必须采取行动，加强对供应链风险的关注，保障软件供应链安全。JFrog委托DarkReading开展的最新调研显示，尽管供应链攻击事件急剧增加，各组织仅将安全评估作为供应商风险管理或采购活动的常规组成部分。 信心源于可视与掌控尽管安全攻击事件持续攀升，且各界对网络攻击高度担忧，但网络安全和IT从业者普遍表示，他们对软件供应链可视化与管控能力的信心水平低得惊人——这种信心本可以也本应该更高。数据显示，仅有少数企业对其软件供应链的可见性与控制力充满信心：75%的受访者表示“信心不足”或“略有信心”，而仅有25%认为自己“非常自信”（图1）然而，这种可视化与管控能力恰恰至关重要。若无法同时实现这两点，企业将难以有效识别和化解安全风险。图1软件供应链的可视性您对软件供应链的可视性和可控性有多大信心？有些信心数据：源自DarkReading针对121名参与网络安全决策的网络安全和IT专业人员的调查，2024年6月 正如近期Docker的险情事件所示，未经严格审查的软件供应链中可能潜藏着重大灾难。目前仅有少数企业对其软件供应链的可见性与控制力具备信心——这一事实正是推动网络安全预算增长的关键动因。尽管各企业已意识到自身软件供应链的脆弱性，并通过增加预算予以应对，但问题远不止于此。各企业报 告显示，其在软件 供应链安全（SSCS）方面的投入持续增加，但频发的安全事件和各项指标却表明，这些投入未能有效弥补关键安全漏洞。完全没信心 增加预算：积极举措，但仍然不够增加支出并不足以解决问题。虽然大多数组织都计划在明年增加网络安全预算，但仍有必要采取更多策略。图2网络安全预算您预计明年的网络安全预算会有什么变化？适度增加保持不变数据：源自DarkReading针对121名参与网络安全决策的网络安全和IT专业人员的调查，2024年6月 在受访的网络安全和IT专业人员中，61%表示明年的网络安全预算将显著或适度增加（图2）。32%表示预算将保持不变，7%表示预算将减少。适度减少显著减少 59%的受访者表示明年的应用安全支出将有所增加，35%表示与去年持平，6%表示将减少此类支出（图3）。虽然增加预算投入是积极举措，这些新增资金有望改善软件供应链（SSC）漏洞管理与修复工作。然而，仍然存在一些挑战，应用安全预算变化您预计明年的应用安全预算会有什么变化？保持不变数据：源自DarkReading针对121名参与网络安全决策的网络安全和IT专业人员的调查，2024年6月 例如安全团队与开发人员之间的协作摩擦，以及端到端安全实施的高要求。这些挑战取决于领导者如何分配网络安全资金，以及他们的优先级考量。我们必须清醒认识到：软件供应链安全必须成为优先战略重点。 软件供应链安全：设置正确的优先级软件供应链很脆弱，需要重点关注和资金支持。然而，当被问及五大网络安全问题时，受访者却将SSCS排在最后。他们认为数据泄露是最紧迫的安全问题，随后依次是终端安全、云安全以及合规治理。为了降低这些风险，我们可以采取以下策略：制定安全标准。部署左移和右移（端到端）安全措施。验证供应商。维护软件物料清单(SBOM)。扫描代码和二进制文件，查找漏洞。这种对软件供应链安全（SSCS）的优先级缺失绝非仅是理论层面的隐忧， 忽视SSCS问题的潜在风险和后果包括数据泄露、恶意软件、合规问题、漏洞利用、勒索软件攻击、知识产权盗窃、流程中断、品牌声誉受损和经济损失。它正在转化为安全从业者日常工作中切实面临的挑战与难题。 软件供应链安全防护所面临的挑战在监控和保障软件供应链安全方面，最突出的挑战是什么？38%的受访者表示难以获取关键细节信息，34%指出难以实施统一的安全策略（图4）。另有32%的受访企业坦言，由于使用了过多 互 不 关 联 的 工 具 ， 导 致 软 件 供 应 链（SSC）的监控和保护工作困难重重。事实上，依赖这些零散的工具和流程拼凑而成的解决方案，只会徒增软件供应链的安全管理难度。JFrog软件供应链管理平台正是为此而生：该平台摒弃了传统多节点安全解决方案的模式，通过单一平台实现端到端的全链路可视化监控。这些痛点使得软件供应链监控变得异常棘手，亟需采用创新的安全防护思路。企业必须从初始阶段就确立正确战略——坚持“安全左移”原则。图4软件供应链监控所面临的挑战在软件供应链监控和安全防护方面，您遇到的最大问题是什么？很难发现重要细节难以实施一致的策略太多孤立的工具开发人员和安全团队具有不同的优先项缺乏自动化每日警报太多数据：源自DarkReading针对121名参与网络安全决策的网络安全和IT专业人员的调查，2024年6月 左移和右移策略：主动安全的必要性相较于被动应对安全威胁，采取早期且全面的“左移+右移”安全策略显然更具优势。该策略能实现从代码编写到生产部署的全流程持续防护——包括通过静态应用安 全测 试（SAST）和 软件 成分 分析（SCA）进行软件包治理，以及运行时环境的安全保障。 最新推出的JFrogRuntime解决方案正是为实现安全“右移”、保护生产环境而生。如今，JFrog平台可一站式守护整个软件供应链：从支持“左移”安全的组件治理（Curation），到保障生产环境的JFrogRuntime，彻底摆脱多节点安全解决方案的桎梏。 软件供应链安全（SSCS）调研数据显示：33%的企业已完全实施“安全左移”策略，其中12%确认获得投资回报（ROI），11%尚未见效。仍有25%的受访企业尚未采用任何“安全左移”实践。这种将安全实践和标准化测试尽可能前置到软件开发生命周期早 期的主动防御策略，通过及早发现漏洞和提升代码质量来图5安全左移的实施及其投资回报率您在左移/主动安全方面有什么经验？贵组织在多大程度上实施了左移策略，是否看到了投资回报率？全面实施，未看到明确的投资回报率部分实施，看到了投资回报率 强化安全性。更早发现问题意味着减少后期返工，不仅能节约成本，还能缩短产品上市周期。从这些数据来看，原本可以有更多公司实施左移策略。38%表示“部分”实施了左移策略，并已看到投资回报率，14%表示实施了左移策略，但没有看到明确的投资回报率（图5）。部分实施，未看到明确的投资回报率没有实施 全面实施，看到了 在已实施“左移”/主动安全策略的90位受访者中，大多数（63%）表示通过SecureCodeWarrior、SANSInstitute和Cybrary等安全培训与教育平台实现了左移及其他主动安全措施（图6）。49%的 受访 者 使用 静态 应 用安 全 测试 工具，例如Checkmarx、FortifyStaticCodeAnalyzer和Veracode StaticAnalysis。41%采用DevSecOps自动化工具，如SonarQube或OWASPDependency-较少比例（27%）使用交互式应用安全测试 工 具 ， 包 括ContrastSecurity、MicroFocusFortifySoftwareSecurityCenter以及SynopsysSeeker。用于实现左移安全的解决方案您使用什么解决方案来实现左移/主动安全？安全教育培训平台静态应用程序安全测试(SAST)工具DevSecOps自动化工具交互式应用程序安全测试(IAST)工具数据：源自DarkReading针对121名参与网络安全决策的网络安全和IT专业人员的调查，2024年6月 “安全左移”策略能为企业带来三大核心价值：降本增效、加速交付、代码提质。通过将安全防护前置到开发早期，该策略能有效拦截漏洞进入生产环境，从而显著增强客户对产品的信任度。不过，该策略并非没有挑战，可能面临诸如规划不当、项目管理不力、质量控制问题、代码审计、孤岛、API不安全以及开发人员操作不当等问题。“安全左移”战略至关重要，但其成功实施必须满足两个关键条件：科学的落地方法论与专业的技术平台支撑。JFrog的平台专为开发人员打造，旨在实现安全功能的自动化，例如为修复SSC中的漏洞提供深度的上下文分析和智能修复指引，以全面应对已识别的风险和挑战。 Check。 JFrog在从代码到生产的软件供应链安全保障中所扮演的角色JFrog软件供应链安全平台是一个统一的平台，在开发人员、DevOps和安全团队之间架起一座沟通的桥梁。它能够解决我们新调查中揭示的诸多问题，并为软件供应链提供端到端的可视性和可控性，这是许多组织目前所不具备的。投资JFrog意味着对软件供应链进行适当的优先排序。该平台提供统一管理视图，通过端到端的可视化监测和互联工具链，让全局监管变得简单高效。JFrog还能让DevOps团队轻松与开发人员及应用安全（AppSec）团队协作，共同交付可信赖的软件。企业必须采用全方位方案保障软件供应链安全，而JFrog正是这一进程中至关重要的合作伙伴。 组织需要优先考虑软件供应链安全随着软件供应链受到越来越多的网络攻击，企业必须应对这一风险。他们必须解决软件供应链安全意识薄弱以及对其可视性和可控性缺乏信心的问题。增加网络安全支出是朝着正确方向迈出的积极一步，因为投资正确的平台可为您提供保障软件供应链端到端安全所需的所有工具。企业管理者必须合理分配预算，将软件供应链安全纳入网络安全整体投入。立足当下、着眼未来，优先保障软件供应链安全已刻不容缓——任何疏忽都可能引发实际业务风险。面对可视化不足与工具割裂等挑战，企业亟需采用革新性安全方案，例如通过“左移安全策略”实现质的提升。JFrogPlatform左移右移SASTXray+AdvancedSecurity代码二进制文件创建软件包推广分发部署从左到右完整的端到端安全 JFrogRuntime运行 企业需要实现从软件包管理到运行时的端到端全流程可视化管控。在软件开发生命周期的每个阶段（包括部署和生产阶段）实施安全防护，将有效减少软件供应链漏洞，提升企业安全信心。关键在于：将安全机制深度集成到每个开发阶段，建立端到端审计与溯源能力，并确保企业级扩展性 。 随 着 企 业 布 局 机 器 学 习/人 工 智 能（ML/AI）领域，采用如JFrog这样稳健的软件供应链安全（SSCS）平台至关重要。