博客家

优先考虑产品安全的重要性

通过Sarit Tager, JFrog Security产品副总裁

7分钟阅读

由于各种各样的因素,为组织交付和部署的产品实现全面的安全性变得越来越困难。hth华体会最新官方网站其中一个关键因素是软件和联网设备的数量、种类和复杂性不断增长。另一个是继承的软件供应链暴露的巨大风险。其结果是:公司每天都在努力为软件提供最佳的安全性和保护,以防止恶意活动、收购、数据窃取和商业破坏。

恶意行为者利用产品软件的机会比以往任何时候都多安全漏洞在软件的生命周期中,制造商、供应商、设备部署人员和最终用户都面临着缺乏安全卫生的毁灭性后果。

在这篇博文中,我们的目标是阐明安全软件开发优先级的重要性产品安全.我们还将就在您的组织内实现产品安全的战略、方法和战术提供可操作的建议。虽然产品安全与任何提供硬件或软件产品的组织都相关,但我们强调了设备供应商的特定需求和挑战。hth华体会最新官方网站

在今天的气候下,特别是自2019冠状病毒病暴发以来,我们的工作方式、工作地点和设施运营方式发生了重大变化。随着远程操作和连接成为我们交付和消费的产品的标准,是时候重新思考我们保护软件的方式了。hth华体会最新官方网站

为了防御复杂的攻击,我们需要在产品的整个生命周期内保护产品,并考虑完整的产品上下文和特征,例如连接类型、软件类型和底层hth华体会最新官方网站操作系统。如果说传统的网络安全方法专注于保护网络,那么现在,随着第一方和供应链攻击,我们必须用产品安全来补充网络安全,以确保组织攻击面的每一层安全。

虽然产品安全在产品生命周期的每个阶段都起着至关重要的作用,但它是一个相对较新的概念,尚未得到明确的定义。

产品安全趋势

根据最近的一项研究,到2018年底,估计有220亿台连接设备,到2030年,这一数字预计将增长到500亿台Statista.每台设备都面临着网络攻击的风险,恶意行为者正在利用这一现实。

以下是一些趋势,这些趋势提高了人们对联网设备和物联网设备产品安全性的关注。

  • 市场需求

多个行业对产品安全的需求都在增长,尤其是消费电子、医疗保健和汽车行业。正如最近美国网络安全改进法案和ENISA关于确保设备供应链的指导方针所示,这些行业正在受到严格监管。此外,消费者还需要更安全的联网产品,让他们安心,尤其是健身、家庭自动化、交通和医疗保健设备。hth华体会最新官方网站

  • 设备的进化

设备正在不断发展和现代化,它们的软件在许多方面开始类似于服务器应用程序和移动应用程序。这些连接设备的数量和复杂性正在扩大攻击面。

  • 新出现的威胁

威胁行为者不断带来新的风险。一个特别令人担忧的问题涉及供应商软件供应链。供应链风险包括故意的后门或“bug门”(伪装成bug的故意后门)以及无意的、已知的cve或其他安全问题。无论是有意还是无意,还有典型的恶意软件,如僵尸网络和勒索软件,可以驻留在开源和第三方代码中,而接收方无法访问这些代码。

  • 安全解决方案

许多层的设备安全解决方案旨在评估和加强来自网络的连接设备的网络安全性。虽然这很重要,但基于网络的安全解决方案是在设备已经部署时实现的,因此它们并不总是足够的。它们不能抵御许多类型的威胁,例如软件供应链风险,通过受损的设备或代码将漏洞引入网络。

保护设备的挑战

安全利益相关者面临着在复杂现实中导航的艰难任务。

  • 安全挑战

保护连接的设备会给设备制造商和资产所有者带来巨大的开销。传统的分析和识别威胁的工具产生了太多的误报,导致安全和工程团队浪费了宝贵的时间和精力,推迟了上市时间。最重要的是,有一些法规和标准强加了新的技术要求。

  • 业务挑战

从业务方面来看,设备制造商和软件供应商的目标是在更短的上市时间内交付更多的产品,而不用在安全方面花费太多的时间和精力。hth华体会最新官方网站

  • 组织的挑战

安全涉众和开发人员经常存在分歧。开发人员想要快速交付,而安全利益相关者会放慢这个过程,特别是由于传统安全工具的误报。

产品安全-技术挑战

确保嵌入式设备、连接设备和物联网安全的其他挑战包括技术障碍:

  • 识别:低级编译代码、独特的漏洞利用、漏洞链方法和碎片化的软件供应链都使识别安全问题变得复杂。
  • 优先级:大量的安全问题,不同地区和行业的安全标准的多样性,缺乏专门的产品安全专家,以及安全和开发团队之间的沟通不畅,使得人们很难专注于真正重要的问题:具有潜在影响的漏洞。
  • 部署后:缺乏对已部署设备的可见性、缓慢且无效的软件更新过程以及严格的操作要求限制了可用于已部署设备的安全补救措施。

在整个设备生命周期中实现产品安全

实现产品安全的第一步是理解其需求并在整个组织中建立意识。它需要高层领导的支持,理想情况下还需要一个集中的职能部门来指导流程,并确保采取行动。在设计阶段,最重要的是创建特定于产品的安全需求,以了解以后要针对什么进行测试。

在开发阶段,贯穿始终SDLC而且CI / CD过程中,您必须确保每个新工件都是根据前一阶段的需求集进行测试的。在预发布阶段,重要的是采用一种把关机制,以确保其中的设备或软件没有可利用的问题。

最后,但并非最不重要的是,在部署后阶段,我们必须确保存在持续的漏洞监控和运行时设备安全性。此外,必须跟上新的威胁,并在现场所有设备上实施事件响应和问题解决方案。

构建产品安全

组织经常为创建正确的产品安全结构这一关键任务而奋斗。在管理层、开发人员和安全涉众之间找到正确的机制并不容易。我们的建议是大力投资建立一个全球实体,不仅定义流程,而且成为产品安全事实上的监管者和执行者。这种结构的成功与管理层是否赋予全球团队适当的预算和权力高度相关。

结论

建立一个健壮的产品和软件安全过程不会一蹴而就,但只要有适当的意图、计划和所有相关方的合作,对于所有类型和规模的组织来说,这是可以实现的和可扩展的。

有关JFrog安全产品的更多信息,请访问JFrog安全页面

受欢迎的标签

试试JFrog平台

在云端或自托管

开始试验

预约演示