【AICon】 如何构建高效的 RAG 系统?RAG 技术在实际应用中遇到的挑战及应对策略?>>> 了解详情
写点什么

Snap 首席信息安全官:我给软件供应链风险打 9.9 分(满分 10 分)

  • 2023-03-05
    北京
  • 本文字数:631 字

    阅读完需:约 2 分钟

Snap首席信息安全官:我给软件供应链风险打 9.9 分(满分 10 分)

如果在 1 到 10 的范围内,给软件供应链的风险打分,Snap 首席信息安全官 Jim Higgins 将其评为了“ 9.9 分”,而 10 分是最高风险。


由此可见,看来我们离“避免下一个 SolarWinds 攻击”还有很长的路要走。软件供应链正处于高风险之中,而且这个安全问题还很难解决,因为一个产品可能有数以万计的软件依赖项。 “这是一个物理问题,”Jim Higgins 在接受媒体采访时说,因为软件包依赖于许多其他第三方和开源软件库。并且只需要其中存在一个错误就可以使你的组织成为下一个警示故事。

 

Jim Higgins 表示,为提高供应链安全性,他们做的最重要的事情是了解自己的组织在使用什么软件,同时还要了解清楚整个供应链的依赖关系。他建议添加一个完整的正在使用的物料清单作为解决问题的起点,这样安全人员就知道要检查什么。“了解你的库存绝对是第一位的,”他说。“能解决 50% 的问题。”

 

InfoQ也在之前的采访中,提到可利用 OpenSSF 提供的 SBOM,来帮助企业或开发者更好地了解自己所使用的开源软件到底包含哪些依赖项,从而轻松审查这些依赖项并随时加以更新。企业应该将软件物料清单(SBOM)作为软件供应链安全的抓手首先推进落地,通过软件物料清单(SBOM)的推广应用,牵引软件供应链上下游各个环节的协同,在此基础之上再采取更多举措逐步深化,实现软件供应链安全保障的目标。同时,软件安全企业的软件成分分析(SCA)工具能够方便的实现 SBOM 的自动生成功能,在目前软件开发普遍集成开源软件的情况下,对于提升软件透明度、开展安全分析具有重要作用。

 

2023-03-05 19:533585

评论

发布
暂无评论
发现更多内容

CMMI3级(低成熟度)与5级(高成熟度)到底有什么不同?

高山

CMMI CMMI高成熟度

深入浅出PID算法

劼哥stone

算法 工业互联网 PID

他教全世界程序员怎么写好代码,而且将所有答案写在这本书里!

博文视点Broadview

linux之history命令

入门小站

Linux

在线TSV转SQL工具

入门小站

工具

高效学习C++基础部分&话题挑战赛

安然无虞

5月月更

深入了解python字典的有序特性

红毛丹

python 3.5+ 5月月更

sealer 成为 CNCF Sandbox 项目,旨在构建分布式应用交付新标准

阿里巴巴云原生

阿里云 开源 容器 云原生

Go语言入门很简单:如何在 Go 语言中使用 MySQL

宇宙之一粟

Go 语言 MySQL 数据库 5月月更

keep-alive+导航守卫让缓存更精确

空城机

Vue 5月月更

网站开发进阶(五十)IE浏览器JS调试方法详解

No Silver Bullet

调试 5月月更

计算机二级备考

工程师日月

5月月更

HTML的iframe使用

恒山其若陋兮

5月月更

适合喜欢快速wiki和md的 vuepress

kcnf

[Day39]-[二叉树] 二叉搜索树中第K小的元素

方勇(gopher)

LeetCode 二叉树 数据结构算法

kubernetes下的Nginx加Tomcat三部曲之二:细说开发

程序员欣宸

Java Kubernetes 5月月更

C语言_函数封装、变量的作用域

DS小龙哥

5月月更

浪潮云x乡村振兴:在烟台 十字融合勾勒数字乡村全新蓝图

浪潮云

云计算

整理了100个必备的Python函数,建议收藏

伤心的辣条

Python 程序人生 软件测试 软件自动化测试 测试 单元测试

八卦信息怎样传到吃瓜群众?这是一条正儿八经的技术科普

融云 RongCloud

PHP基础语法1

乌龟哥哥

5月月更

YUV色彩空间

Loken

5月月更

在线提取Sitemap中的URL工具

入门小站

工具

云原生×实战派:向业务聚焦,数字创新时代的最佳选择

阿里巴巴云原生

阿里云 云原生 实战 电子书 案例集

奉劝想把编程学好的学弟们 · 如何高效学习编程?

安然无虞

5月月更

一种基于事件驱动思想的 SAP 系统集成二次开发方法介绍

Jerry Wang

云计算 SAP 二次开发 5月月更

云网资源如何搭乘「数字孪生」的快车道?

鲸品堂

数字孪生 设备 云网资源

浅谈前端和后端的区别

工程师日月

5月月更

这 BUG,绝了

AlwaysBeta

程序员

ACK One 构建应用系统的两地三中心容灾方案

阿里巴巴云原生

阿里云 容器 云原生 容灾

【PIMF】手把手教会在OpenHarmony仓库不使git命令提交PR参与社区贡献

离北况归

OpenHarmony Openharmony啃论文俱乐部 PIMF团队

Snap首席信息安全官:我给软件供应链风险打 9.9 分(满分 10 分)_开源_Tina_InfoQ精选文章