In een wereld waarin steeds meer organisaties open-sourcecomponenten adopteren als fundamentele blokken in de infrastructuur van hun applicaties, is het moeilijk om traditionele SCA’s te beschouwen als complete beschermingsmechanismen tegen open-sourcebedreigingen.
Het gebruik van open-sourcebibliotheken bespaart een hoop codeer- en foutopsporingstijd, en verkort daarmee de tijd om onze applicaties te leveren. Maar nu codebases steeds meer uit open-sourcesoftware bestaan, is het tijd om het hele aanvalsoppervlak te respecteren – inclusief aanvallen op de toeleveringsketen zelf – bij het kiezen van een SCA-platform afhankelijk zijn van.
De impact van één afhankelijkheid
Wanneer een bedrijf een open-sourcebibliotheek toevoegt, voegen ze waarschijnlijk niet alleen de bibliotheek toe die ze bedoelden, maar ook vele andere bibliotheken. Dit komt door de manier waarop open source-bibliotheken worden gebouwd: net als elke andere applicatie op de planeet streven ze naar een snelheid van levering en ontwikkeling en vertrouwen ze daarom op code die andere mensen hebben gebouwd, dat wil zeggen andere open source-bibliotheken. .
De feitelijke termen zijn directe afhankelijkheid – een pakket dat u aan uw toepassing toevoegt, en een transitieve afhankelijkheid – een pakket dat impliciet wordt toegevoegd door uw afhankelijkheden. Als uw applicatie pakket A gebruikt, en pakket A pakket B, dan is uw applicatie indirect hangt ervan af op pakket B.
En als pakket B kwetsbaar is, is uw project ook kwetsbaar. Dit probleem heeft geleid tot de opkomst van de wereld van SCA’s – Software Composition Analysis-platforms – die kunnen helpen bij het opsporen van kwetsbaarheden en het voorstellen van oplossingen.
SCA’s lossen echter alleen het probleem van kwetsbaarheden op. Hoe zit het met supply chain-aanvallen?
Cheatsheet voor best practices voor supply chain-beveiliging
Aanvallen op de supply chain van software nemen toe.
Volgens de voorspellingen van Gartner zal er in 2025 45% van de organisaties zal aangetast worden. De traditionele Software Composition Analysis (SCA)-tools zijn niet voldoende en het is nu tijd om actie te ondernemen.
Download ons spiekbriefje om de vijf soorten kritieke supply chain-aanvallen te ontdekken en de risico’s beter te begrijpen. Implementeer de 14 best practices die aan het einde van het spiekbriefje staan om je hiertegen te verdedigen.
🔗 Download nu het spiekbriefje
Aanvallen VS. Kwetsbaarheden
Het is misschien niet duidelijk wat we bedoelen met een ‘onbekend’ risico. Voordat we ingaan op het onderscheid, kijken we eerst naar het verschil tussen kwetsbaarheden en aanvallen:
Een kwetsbaarheid:
- Een niet-opzettelijke fout (afgezien van zeer specifieke geavanceerde aanvallen)
- Geïdentificeerd door een CVE
- Opgenomen in openbare databases
- Verdediging mogelijk vóór uitbuiting
- Bevat zowel reguliere als zero-day vulns
- Voorbeeld: Log4Shell is een kwetsbaarheid
Een supply chain-aanval:
- Een opzettelijke kwaadaardige activiteit
- Ontbreekt aan specifieke CVE-identificatie
- Niet gevolgd door standaard SCA’s en openbare databases
- Meestal is er standaard al geprobeerd om te worden uitgebuit of geactiveerd.
- Voorbeeld: SolarWinds is een supply chain-aanval
Een onbekend risico is vrijwel per definitie een aanval in de toeleveringsketen die niet gemakkelijk door uw SCA-platform kunnen worden gedetecteerd.
SCA-tools zijn niet genoeg!
SCA-tools lijken misschien een oplossing te bieden voor het probleem van de bescherming tegen risico’s in de toeleveringsketen, maar ze pakken geen van de onbekende risico’s aan (inclusief alle grote aanvallen op de toeleveringsketen) en zorgen ervoor dat u wordt blootgesteld aan een van de meest kritieke onderdelen van uw infrastructuur.
Er is dus een nieuwe aanpak nodig om de bekende en onbekende risico’s in het steeds evoluerende supply chain-landschap te beperken. Deze gids beoordeelt alle bekende en onbekende risico’s in uw toeleveringsketen, suggereert een nieuwe manier om naar dingen te kijken en biedt een geweldige referentie (of introductie!) tot de wereld van toeleveringsketenrisico’s.
