• 我的订阅
  • 科技

2024 年企业安全领导者需要谨记的五大关键

类别:科技 发布时间:2024-03-04 17:00:00 来源:爱云资讯

作者:JFrog大中华区总经理董任远

新年立下新志向,开启新征程。对于CISO和CSO们来说,这也意味着他们能够借此机会打造能把自身企业安全作为优先考量的解决方案。

去年,整个业界在加强软件供应链安全方面取得了显著进展,但安全团队在软件供应链方面仍然面临着许多潜在的威胁。AI/ML模型中恶意代码的猖獗使用、遭入侵的开源软件、漏洞利用等问题仍持续困扰着企业。

为在2024年确保软件供应链尽可能安全,安全专业人士必须在今年致力于做好以下五大关键,包括:

·对于开源代码,在信任的同时要对其进行验证

·警惕安全解决方案和代码开发中的AI/ML

·不要对零日漏洞感到恐慌

·将SBOM作为安全战略的必备要素进行集成

·采取“左移”战略

对于开源代码,在信任的同时要对其进行验证

安全领导者面临的最严峻挑战之一就是开源软件的威胁。许多开发者盲目信任来自公共开源代码库的软件,认为它们不存在安全和合规性问题。然而,未能对代码进行包含必要的安全控制等在内的正确审查以确保其始终处于最新状态,会使组织遭受软件供应链攻击的风险增高。

步入2024年,安全领导者必须在信任开发者开源编码实践的同时对其进行验证。安全风险往往始于开发者从这些公共资源库下载代码的那一刻。通过确保自始对代码进行充分审查,安全领导者就能主动减轻对软件供应链的威胁,避免造成不可挽回的损失。

警惕安全解决方案和代码开发中的AI/ML

2023年,人工智能的兴起推动了创新,但也引起了人们对安全问题的高度关注。软件开发安全方面的疏忽可能会无意中将恶意代码引入AI/ML模型,让攻击者有机可乘,由此对企业造成进一步的损害。

开发者还可能会使用从公共AI/ML源生成的代码,而不知道模型是否已遭到入侵。如果盲目信任AI/ML模型,就可能会给企业招致更多的漏洞——所有来自AI/ML源的代码都必须经过审查。

无需对零日漏洞感到恐慌

2023年,网络犯罪分子利用零日漏洞的速度创下了历史新高,而新的一年里,这一趋势还将持续。

面对零日攻击,安全团队常常会感到恐慌,不确定CVE(关键漏洞披露)会产生怎样的影响。虽然CVE可能存在于他们的软件中,但也完全有可能在极端特殊情况下被利用,而这些情况并不适用于该企业。在这种情况下,可能会无缘无故地对最终用户实施耗时且可能具有破坏性的补丁。

今年,CISO和CSO们在采取行动之前,需要先了解CVE及其与企业的关系。盲目修补可能弊大于利,而将CVE与具体情况联系起来,则有助于更好地保护企业并明确真正需要采取的行动。

将SBOM作为必备要素纳入安全战略

SBOM已成为安全领导者使用的重要DevSecOps工具,因其能为用户提供更快的识别方法,缩短恢复时间,提高代码修复的效率和效力,并在更严格的监管环境中增强合规性。

SBOM可以系统性地跟踪每个应用程序中存在的组件,以及应用程序运行所需的依赖项,使安全团队能够准确地查看在发生漏洞利用时受到影响的系统。此外,在2024年,网络安全监管环境还将继续收紧,这使得SBOM不再只是“锦上添花”的存在,而且是确保遵守新规则的必需。

采取“左移”战略

对于安全领导者来说,落实上述所有的解决方案可能是一项艰巨的任务,这也是为什么CSO和CISO们在2024年必须采用“左移”的方法来确保安全性。

通过从一开始就将安全纳入软件开发,安全领导者可以确保为其软件供应链建立更加积极主动的防线。这样,他们在软件开发中使用开源或公开开发的AI/ML代码时就更具灵活性,可以更好地控制为其企业而构建的AI/ML模型,确保尽可能降低CVE漏洞利用的可能性,并提高了SBOM的有效性。

步入2024年并展望更远的未来,软件领域的复杂性只会有增无减。通过在软件供应链安全方面采取“左移”思维,CISO和CSO们可以确保企业更强大、更具韧性,以应对新的安全挑战。

###

关于JFrog

JFrogLtd.(纳斯达克股票代码:FROG)的使命是创造一个从开发者到设备之间畅通无阻的软件交付世界。秉承“流式软件”的理念,JFrog软件供应链平台是统一的记录系统,帮助企业快速安全地构建、管理和分发软件,确保软件可用、可追溯和防篡改。集成的安全功能还有助于发现和抵御威胁和漏洞并加以补救。JFrog的混合、通用、多云平台可以作为跨多个主流云服务提供商的自托管和SaaS服务。全球数百万用户和7000多名客户,包括大多数财富100强企业,依靠JFrog解决方案安全地开展数字化转型。一用便知!如欲了解更多信息,请访问jfrogchina.com或者关注我们的微信官方账号:JFrog捷蛙。

以上内容为资讯信息快照,由td.fyun.cc爬虫进行采集并收录,本站未对信息做任何修改,信息内容不代表本站立场。

快照生成时间:2024-03-04 21:45:03

本站信息快照查询为非营利公共服务,如有侵权请联系我们进行删除。

信息原文地址:

...获取用户数据的能力美国是全球软件产业和互联网长夜的领导者,掌握了许多核心技术和标准,在智能终端领域具有全球性优势,掌控了全球移动通信网络发展,对全球软件和互联网市场和创新有着
2024-02-07 16:22:00
逆袭市场领导者——外呼电话软件的新时代
...话软件的优势和应用,探讨为什么它们正在逐渐成为市场领导者。外呼电话软件的功能与特点外呼电话软件通过自动化的机器人智能拨打电话,实现与潜在客户或现有客户的有效沟通。它们具备以下
2024-06-15 16:44:00
大中型科技企业开源战略制定与落地
...包括四个阶段:消费者阶段、参与者阶段、贡献者阶段、领导者阶段。企业对外开源的两种形态,一种是 Upstream,对已有项目做贡献
2022-12-31 06:02:00
开源软件对网络安全的影响
...于源代码是免费提供的,因此它更容易被利用。一些安全领导者认为专有软件比OSS更安全,因为它的代码是隐藏的。毕竟,即使代码中存在缺陷,恶意行为者如果看不到它们,也无法利用它们。
2022-12-27 09:07:00
黄仁勋:AI带来新工业革命 英伟达正打造AI大脑
...高德纳IT展览会(Gartner IT Symposium)上对数千名企业技术领导者表示,他们的公司必须转型为人工智能驱动的组织
2024-10-23 11:55:00
三品pdm系统实施关键技术详解
...关键。项目组应由具有项目管理经验的组织者、企业高层领导者、用户代表、信息中心主管以及外部专家等组成。项目组的成立是实施工作的第一步,确保每个成员都具备业务经验和IT知识。2.
2024-06-25 11:25:00
...散的,有许多单点解决方案的提供商,但没有明确的平台领导者。我们希望成为这样的角色。在整个过程中,Stacklok具有无可比拟的主动性和补救性,为CodeSec提供了一种优雅而
2023-05-18 15:55:00
引领软件供应链安全 比瓴科技位居安全牛全景图第一
...逐渐受到各行各业的关注,比瓴科技作为软件供应链安全领导者受到安全牛的认可,在本次全景图中多领域入选。基于前期同分析师的案例交流,比瓴产品及商业模式成熟度得到充分认可,并将比瓴
2024-04-16 13:00:00
...大的独角兽企业之一。联通联动产业链伙伴作为3D视觉的领导者和提供商,梅卡曼德位居产业链的中上游,为下游提供高端装备作为制造业的核心基础设施。产业链上游主要包括3D相机软硬件制
2023-12-05 10:40:00
更多关于科技的资讯: