如何逃离漏洞修复的无尽循环？

近日，谷歌发布白皮书《逃离厄运循环》。谷歌认为：无穷无尽的漏洞修复“厄运循环”正在掏干防御人员和用户的精力。此外，为应对各种攻击新趋势而创建的工具对改善这种情况毫无帮助。

想要打破这种循环，谷歌表示，需要专注保护软件开发安全，采用漏洞修复最佳实践，以及确保修复简单易行。同时，供应商应让用户、供应链合作伙伴和社区知晓漏洞利用情况，并通过公开披露和直接联系尽可能地及时通知受害者。

这与开源网安的安全理念不谋而合，打破这种漏洞修复“厄运循环”，我们建议企业从以下几个方面入手。

据了解，超过95%的安全漏洞都发生在各类软件本身，而当中又因为软件开发相关问题造成的安全漏洞占96% 以上。所以，在软件开发中，安全是从设计源头开始，通过开发安全的赋能引入自动化的安全工具并且为相应的开发人员进行安全技能的培训，来消除安全风险，为未来降低安全维护的成本。

常见的应用检测工具包括 SAST(白盒测试）、DAST（黑盒测试）、IAST（灰盒测试）、SCA（软件成分分析） 、FUZZ（模糊测试）等，都是有助于软件开发安全落地工作的自动化工具。通过使用这些工具，不仅可以显著地降低软件安全风险，更可以提升软件安全测试效率和软件开发安全工作效率。

安全意识培训应从以下两个方面入手：

• 在企业内部建设学习型组织，加速知识流动，全面提升各个岗位安全意识与能力

• 定制化打造研发人员的培训与考核体系，增强关键岗位人员的知识储备

当前没有哪家企业可以实现完全的自产自足，都需要借助其他供应商的能力完善自身的生产能力。但这也导致了频发的软件供应链安全问题，如果没有良好的供应链安全管理和风险控制，安全风险会急剧增加，也会为企业带来除之不尽的安全漏洞，甚至不知道漏洞是如何发生的。因此，在选择供应商和进行采购活动之前，企业自身需要完善相关的供应商管理制度或机制。

供应商安全规范包括：

• 供应商关系的信息安全：供应商遵守的信息安全策略、供应商协议的安全问题、信息和通信技术供应链

• 供应商服务交付管理：监视和评审、变更管理

供应商在供应产品或服务过程中，应当遵守的最低安全要求和安全策略，确保供应商对于企业资产的访问是安全可控的，并明确双方合作中安全风险的处置原则和要求。同时，实行供应商服务交付管理制度可以保障交付物具备安全和质量水准，并确保交付变更不会带来新的安全风险。

而对于已经合作的供应商，企业应当每年进行一次供应商评估，定期评估可以让企业掌握供应商的企业风险和产品/服务风险，避免由于供应商风险造成的企业自身风险。定期评估的内容如下：

• 供应商的合作等级：取决于供应商的实力，比如钻石级、白金级、白银级；

• 供应链的安全风险等级：供应商提供的产品或服务在保密性、完整性、可用性方面对企业造成的风险级别；

• 安全风险的缓解措施：包括企业自身的替代能力，和其他供应商的替代能力。

开源网安

软件安全领域的创领者

开源网安从全生命周期守护客户软件安全，为客户提供软件供应链安全、软件研发安全、安全培训等一站式解决方案与服务，助力客户在安全进行数字化转型的同时，把更多资源用于业务的创新与突破。