SCSW İster açık kaynak kitaplıkları ister özel kod olsun, kullanıma hazır yazılımların büyük çoğunluğu ithal bileşenlerden oluşur. Ve bu bir güvenlik tehlikesi anlamına gelir: Birisi bu bileşenlerden birini çökertebilirse, bu bağımlılıkları kullanarak her uygulama kurulumuna sızabilir.
Güvenlik uzmanları Chainguard’ın kurucu ortağı ve CEO’su Dan Lorenc, “Saldırganlar bunu fark etti ve tüm bu boşluklara, üçüncü taraf bileşenlerine başka satıcılar tarafından aktarıldıkça ve yeniden kullanıldıkça gizlenip bunlara saldırmanın kolay olduğunu anladılar.” Kayıt.
Lorenc, “Son birkaç yılda tedarik zinciri saldırılarında büyük bir artış gördük, bu da uzayda hatırlama ve dikkatin artmasına yol açtı” diye ekledi.
Bu da sırasıyla artan düzenleme hükümet ve özel sektör, yazılım tedarik zincirlerini güvence altına almak ve başka bir büyük olayı önlemek için adımlar attıkça dikkatleri üzerine çekiyor. SolarRüzgarlar veya Log4j saldırılar.
İçin KayıtTedarik Zinciri Güvenliği Haftası’nda, Lorenc’le bu çabaları tartışmak için oturduk, buna girişiminin öncülük ettiği girişim de dahil. OpenVEXVisibility Exploitability eXchange veya VEX’in benimsenmesine hızla başlamayı amaçlayan bir açık kaynak spesifikasyonu.
Endüstri kısaltmalarını sevdiği için VEX’in amacı, SBOM veya başka bir tedarik zinciri güvenlik aracını tamamlamaktır. yazılım malzeme listesi.
Lorenc, yazılım tedarik zincirlerinin güvenliğini sağlamanın zorluklarını ve tüm bu kısaltmaların nasıl yardımcı olabileceğini tartışırken yukarıdaki röportajı izleyin. ®