2021年五分之三的公司遭遇软件供应链攻击

Anchore最近的调查研究表明，2021年里，五分之三以上的公司遭遇过软件供应链攻击。调查征集了IT、安全、开发和DevOps领域428位高管、主管和经理的意见，结果显示：近三分之一（30%）的受访者所在企业在2021年所受软件供应链攻击的影响为严重或中等。仅6%的受访者认为攻击对其软件供应链的影响很小。

调查结果呈现了Apache Log4实用程序漏洞暴露前后软件供应链攻击的变化。研究人员在2021年12月3日至12月30日期间编撰此调查报告，而Log4j漏洞是在12月9日披露的。12月9日之前，55%的受访者表示自己遭遇了软件供应链攻击。这个日期之后，表示遭遇软件供应链攻击的受访者上升到了65%。

Anchore高级副总裁Kim Weins表示：“这意味着有受访者在Log4j之前没有遭遇供应链攻击，还有受访者之前经历了攻击，但在Log4j之后所受影响加重了。”

科技公司受软件供应链攻击的影响更大

调查还发现，与其他行业相比（3%），受软件供应链攻击严重影响的科技公司更多（15%）。Wein称：“科技公司有可能提高恶意攻击者的投资回报率。只要攻击者可以染指软件产品，而该软件产品为成千上万的用户所用，那么攻击者就能在万千其他公司中立足。”

许多企业似乎也开始重视供应链安全了：54%的受访者将供应链安全视为首要或重要的关注领域。成熟容器用户对供应链安全的关注度甚至更高：70%的成熟容器用户表示供应链安全是其首要或重要关注点。

Weins表示：“你必须留意的依赖数量会随着容器和云原生部署而增加。因此，随着容器使用的愈加成熟，用户逐渐意识到自己必须关注这些依赖所引入的新增攻击面。”

软件物料清单（SBOM）是保护软件供应链的关键

调查报告指出，尽管很多受访者将保护软件供应链视为头等大事，但将软件物料清单（SBOM）纳入自身安全态势考量的受访者却很少。例如，仅不到三分之一的受访者遵从了SBOM最佳实践，而自家所有应用都具备完整SBOM的受访者更是仅有18%。

Weins称：“我们认为SBOM是确保软件供应链安全的重要基础，因为可以通过SBOM了解实际在用的软件。” 

曝出漏洞时，SBOM还有助于缩短安全团队的响应时间。资产管理和治理解决方案公司JupiterOne首席信息安全官Sounil Yu指出：“如果没有SBOM，修复这些漏洞的时间可能会延长至数月乃至数年”。

数字风险防护解决方案提供商Digital Shadows首席信息安全官Rick Holland补充道：“缺乏SBOM，客户就会购买黑盒解决方案，由此导致无法全面了解产品或服务中使用的所有组件。”

Weins坚定认为，SBOM是2022年必备。“大家都很清楚，软件安全始于了解你所拥有的一切，也就是拥有完整的组件列表，然后在交付软件之前对照检查是否全都安全。而在软件部署之后，你还需要持续监测软件的安全性。”