深藏在細節中的魔鬼: SBOM 在保護軟體供應鏈中擔任要角
本報告摘要:
自從資訊安全研究人員在 2020 年 12 月發現攻擊者在 Solar Winds 應用程式的軟體更新中遭植入木馬程式事故後,這對於超過 18,000 家企業和政府機構而言,無非是在對於軟體供應鏈安全管理最粗暴,也是最重大的攻擊。儘管 Solar Winds 事故是迄今為止最巨大且最著名的軟體供應鏈攻擊,但遺憾的是,這並不是一個個別事件。事實上,軟體供應鏈攻擊已是企業需面臨到的普遍威脅,僅僅在過去的一年內,攻擊者就發動了近 7,000 次軟體供應鏈攻擊。不法分子不斷透過滲透、植入惡意程式攻擊的方式來竊取數據、損害目標受害組織系統並透過上、下游串連的特性,進入供應鏈網路的其他途徑攻擊。
由於軟體供應鏈攻擊是惡意行為者滲透軟體供應商的網絡,並利用惡意代碼來破壞軟體元件,而後再透過供應商系統發送到客戶端;而被破壞的軟體程式會接續威脅客戶的數據或系統。對於下游客戶來說,新啟用的軟體可能從一開始就受到威脅,或者威脅也可能透過安全修復版本或緊急修復發生。供應鏈攻擊透過以上方式進而滲透到所有使用到遭受惡意程式竄改軟體的用戶,對於政府、關鍵基礎設施和民營企業客戶都有可能產生大規模的連鎖效應。
您將會從本白皮書學到:
- 解決軟體供應鏈攻擊的監管政策及重大歷程解析
- 漏洞修復的基本特點
- 元件庫管理的基本功能
- 分析開源授權合規性的挑戰
- 透過有效的使用分析增強開源檢測自動化整合
- MEND SCA 核心價值
請留下資料免費取得白皮書!
相關文章
Apache Struts 近日被通報高風險漏洞,目前通報等級為 9.8 分,其攻擊方式主要透過攻擊者操縱上傳文件的參數,引發路徑遍歷(Path Traversal)攻擊。這可以讓攻擊者上傳惡意文件,並最終執行遠端程式碼(Remote Code Execution),從而掌控應用程式或伺服器。
2024/01/08
iThome: https://www.ithome.com.tw/pr/125569 叡揚資訊攜手 Axway 帶領客戶進行數位轉型。 由左至右:叡揚資訊系統事業處 何玉雲處長、Axway 亞太區 ...
2018/08/31