Защитите своё ПО

По словам руководителя Microsoft Security Response Center Анчалы Гупты, крупные атаки на цепочку поставок (например, SolarWinds , Kaseya и Log4j ) будут продолжаться и увеличиваться. «Атаки на цепочку поставок будут продолжаться из-за того, что мы все больше зависимы от стороннего ПО с открытым исходным кодом», — сказала Гупта.

Киберпреступники могут найти неисправленную уязвимость в системе одной компании и использовать ошибку для заражения клиентов и партнеров организаций. По словам Анчалы, компаниям нужно внедрить спецификацию ПО (software bill of materials, SBOM), которая представляет из себя перечень открытого исходного кода и кода сторонних разработчиков, используемого в продуктах организации.

Организациям следует запрашивать у поставщиков политику безопасности и проводить аудиты, а также проверять код открытого ПО. «Даже если вы доверяете поставщику ПО, у вас все равно должна быть программа для проверки», - добавила Гупта.

Напомним, что Google объявила о запуске Команды технического обслуживания с открытым исходным кодом Open Source Maintenance Crew, которая представляет с собой команду разработчиков, работающих над обеспечением безопасности проектов с открытым исходным кодом, начиная с ужесточения конфигураций и заканчивая развертыванием обновлений. Новая группа разработчиков поможет смягчить угрозы кибербезопасности крупных предприятий и повысить общую безопасность цепочки поставок ПО.