软件日益成为企业从事各种业务的核心。而敏捷性成为保持竞争力的关键要素,所以企业正寻求伙伴帮助自己获得所需软件,以保持不败地位。注意,这里说的是“获得”而非“构建”或“编制”,因为来自伙伴的帮助可以来自软件组件的形式,或者是完全开发好的应用代码。
合作伙伴可以带来软件,也可以招致风险。合作伙伴提供软件中的漏洞会成为企业的漏洞。这并不是一个新现象,企业开始以各种原因在各种市场中求助于供应链合伙人,并且很快认识到自己正在从其合伙联盟中继承风险。开源组件越来越多的使用促进了软件供应链的发展,并且促使企业相信自己的合作伙伴。
那么,这些软件漏洞的源头是什么呢?当然,我们绝对不能归咎于恶意行为(虽然我们可以有足够的理由来解释),却不能排除恶意的想法。在涉及评估企业合作伙伴的优势、弱点以及潜在风险时,通过分析软件漏洞,我们认为这并非“无的放矢”。
毋庸置疑,有相当部分的软件漏洞是由于架构和设计中的缺陷造成的。因而,如果企业的合作伙伴不能承诺将安全性构建到其架构和设计中,那么,企业将会继承这些易被利用的基本漏洞。只有最成熟的合作伙伴才会信奉安全设计的观念,并且实施充分的威胁建模。
企业的团队是否在编写无漏洞的代码?是否已经清除了“开放式Web应用程序安全项目(OWASP)”中的那些重大漏洞呢?为什么要假设自己的合作伙伴已经在一定程度上实现了无漏洞的编码呢?毕竟,合作伙伴要与潜在的供应商进行竞争,并且与贵企业一样面临着同样的压力。谁还有时间关注安全?可以说,你只能继承那些不能编制安全代码的合作伙伴交给你的漏洞。
企业的合作伙伴可能将恶意逻辑和结构编写到代码中,从而允许其访问应用。这些内部人员威胁的恶意逻辑和结构往往能够逃避由标准的安全测试工具所实施的检测,因为这些工具并不包含漏洞标识工具。这些恶意逻辑和结构可以成为恶意访问、时间炸弹、特洛伊木马的后门。无论如何,这种合作伙伴已经故意地编写了可以被利用的代码。
内部人员风险代表着真正的风险,因为传统的静态和动态应用安全测试就存在于多数软件安全机制的内部,所以就无法找到这些漏洞。经验丰富的安全专家可以通过源代码的分析找到恶意的程序构造,但是,来此企业合作伙伴的代码主要表现为二进制形式,因而无法访问源代码。能够检测二进制代码中的内部人员威胁构造的工具是很有限的,而且这种工具并没有广泛部署。所以,虽然开源组件分析受到广泛关注,但内部人员威胁却会造成最大的危害。
那么解决方法是什么呢?最佳起点是建立必要的策略和过程,确保企业采取措施减少由软件供应链带来的漏洞。企业要创建关于开源的使用策略和第三方应用的测试策略,并且创建指南,为来自软件供应链的软件进入产生环境制定门槛。
我们无法评估自己不了解的东西,所以应关注企业正在使用的开源软件或第三方软件。例如,有些软件组成分析工具可以确定和统计开源的使用。这些工具可以实施企业策略并提供许可协议数据,还可以确认包含已知漏洞的开源组件。
对于由企业的合作伙伴开发的软件,企业应考虑能够确认内部人员威胁的可用工具。不妨询问合作伙伴的编码方法并深入分析其安全策略。一个可信赖的合作伙伴应非常愿意向企业提供可以解决问题的信息。虽然要相信软件的安全性,但验证也同样重要。
如今,无论是联盟还是合作伙伴,都是重要资源。为保持竞争优势,企业都在不断地交朋友和扩大合作伙伴关系。就如同任何商业关系一样,企业在使用来自联盟或合作伙伴的软件或开源组件时,要注意其潜在风险。
企业的软件安全问题取决于其联盟或合作伙伴。
(责任编辑:宋编辑)