软件供应商未来的责任:软件供应商如何做好准备,以肩负起未来更大的责任

见解 May 08, 2023
BlogHeroImage

作为 Veritas 的首席信息安全官,我很清楚地认识到,软件安全的格局在不断变化,软件供应商承担的责任也越来越重。在当今网络攻击日益频繁且更加复杂的世界里,软件供应商不仅要提供功能强大、运行高效的产品,还要确保产品的安全性和韧性,这一点至关重要。

参加我们的研讨会,共同探讨软件供应商未来的责任,洞察供应商如何做好准备,肩负起这一关键领域未来的重大责任。

 

软件责任转移的影响

过去,软件供应商大都不必为产品安全漏洞或缺陷负责。不过,随着我们对数字技术的依赖程度加深,网络攻击对企业和个人的影响越来越大,这个趋势正在转变。监管机构和立法者如今要考虑如何让软件供应商对其产品的安全性承担起更多责任。我们看到美国在这个方面取得了较大进展,拜登政府最近发布的《国家网络安全战略》明确将软件产品和服务的责任移交给其创建者,并倡导安全的开发实践。

这种责任转移会对软件供应商产生多种潜在影响:

  1. 增加软件供应商的责任:软件责任转移后,软件供应商要承担起更大的责任,确保其软件是安全的,符合必要的质量标准。
  2. 提高软件质量:转移软件责任可以激励软件供应商提高软件质量,减少出现缺陷和安全漏洞的可能性。
  3. 增加软件供应商的成本:转移软件责任可能会增加软件供应商的成本,因为他们可能要在测试、质量保证和安全措施等方面进行更多投资,以确保软件安全、无缺陷。
  4. 更改软件合同和担保:转移软件责任可能会导致软件合同和担保条款更改,因为供应商要确保自己不会因软件缺陷招致潜在诉讼和损失。
  5. 软件信任度更高:转移软件责任可以增加最终用户对软件的信任,因为他们知道软件供应商将对因缺陷或漏洞造成的任何损失承担责任。
  6. 法律格局的变化:软件责任的转移可能导致法律格局的变化,因为法院和立法者要调整新的责任协议。

最终,软件责任的转移可能会对软件供应商、最终用户和法律体系产生重大影响。虽然它可以激励软件供应商提高软件质量和提高用户对软件的信任,但它也可能增加成本,而且要变更软件合同和担保条款。归根结底,每个企业会根据自身特定需求和风险承受能力来确定处理软件责任的最佳方法。

 

面向供应商的如何构建安全软件的建议

以下是企业在开发安全软件应用程序时可遵循的 10 种最佳做法:

 

  • 威胁建模:积极主动识别系统或应用程序中的潜在安全漏洞,及时采取措施加以解决,以免被攻击者趁机利用,例如,识别和解决应用程序设计、配置或实施中的漏洞,发现潜在攻击,实施相应的安全控制措施以降低这些风险。
  • 安全编码:这是构建安全、韧性应用程序的重要武器。关键元素包括,输入验证、身份验证和授权、安全通信、错误处理、访问控制、安全配置和安全编码实操。
  • 软件物料清单管理 (SBOM):软件物料清单 (SBOM) 是软件应用程序或系统的所有构成组件的清单,包括第三方资源库、框架和其他依赖关系。SBOM 是软件开发的重要组成部分,有助于识别第三方组件和依赖关系的潜在漏洞和风险,确保企业遵守行业条例和标准,改进开发团队和其他利益相关方之间的协作和沟通。企业对 SBOM 的投入有助于改善供应链风险管理,减少漏洞带来的风险,并遵守开源许可要求。

  • 代码审查:在开发生命周期的早期发现潜在安全漏洞,以便在部署软件或应用程序之前修复这些漏洞。它是全面的安全测试和策略保障的重要组成部分。

 

  • 渗透测试:这是安全测试和策略保障的关键组成部分。它拥有以下几个关键优势:

       A. 识别潜在漏洞

       B. 洞察攻击手段

       C. 加强安全保护

       D. 满足合规要求

       E. 降低风险,最大限度减少漏洞的影响

 

  • 安全配置管理:这是管理软件系统和应用程序配置的过程,通过正确的配置使系统得到强化,以弥补常见的安全漏洞和弱点。具体包括建立和强制实施安全策略与最佳做法,来进行系统配置。安全配置管理包括以下几个关键组件:

      A. 标准配置

      B. 更改管理

      C. 安全控制

      D. 漏洞管理

      E. 补丁管理

  • 访问控制:敏感数据、功能和资源仅限授权的用户或系统访问。
  • 安全培训:帮助确保开发人员具备构建安全软件所需的必要技能和知识,并降低安全漏洞的风险。通过投资安全培训,企业可以提高软件的安全级别,降低安全漏洞的风险,在开发团队中建立安全意识文化。

  • 事件响应:清晰定义事件响应是软件开发的关键组成部分,包括识别、调查和响应软件系统和应用程序中的安全事件和漏洞。

  • 持续监控:持续监控系统日志、网络流量和用户行为,以便及时发现任何安全风险迹象。

遵循这些最佳实践可帮助企业开发能够抵御潜在威胁和漏洞的可靠软件应用程序。在软件开发的每个阶段,供应商都必须优先考虑安全性,阻止未经授权的访问并保护敏感数据。

 

总结

软件责任的转移给软件供应商带来了新的挑战。供应商要承担更多的责任,因此主动采取措施增强产品安全性,可以帮助他们将潜在风险降至最低,还可以体现出其积极履行保护客户和用户数据的承诺。

采用最佳实践,例如实施 SDLC、威胁建模、SBOM 管理以及投资员工培训和建立安全意识文化,将有助于供应商构建更安全、更具韧性的软件产品。此外,实施透明的安全措施并与安全社区协作,也可增强用户对产品的安全感和信任。

面对不断变化的格局,让我们携手努力,共同创造一个更安全的数字环境。Veritas 通过分享其专业知识和经验,旨在与企业一起提高软件安全标准,为我们的数字生态系统创造更安全的未来。

让我们与您共同面对日益增长的软件责任挑战,适应不断变化的格局,继续提供安全、可靠和创新的解决方案,满足客户和用户的需求。

提升企业的网络安全刻不容缓!立即访问我们的网络韧性页面,了解 Veritas 如何帮助您制定稳健的网络韧性计划。

blogAuthorImage
Christos Tulumba
首席信息安全官