Alexa：网络安全的未来是什么？

你今天说过“嘿，Siri”还是“好吧，谷歌”？您是否向Alexa询问今天的天气或新闻头条？连接设备无处不在，无论您与它们聊天的感觉如何。

在表面之下，有一些技术组件使这些和其他日常技术工具成为可能：开源软件。

如果你在幕后偷看，你会发现一个迷人的，当前动荡的世界。技术专家，立法者，企业家和日常人士正在讨论未来将如何展开。今天关于技术的决定将对日常生活产生持久影响。

辩论和关注的主要内容涉及保护公民免受恶意进入软件供应链，以及可能更具破坏性的网络战争。（哇！快黑了！）

如果我们对今天的发展进行深思熟虑，新兴技术可以带来更多好处而不是伤害。

这是我们在Sonatype不断思考的对话。

国际网络参与会议

如果你第一次想到网络战是：“哦，我的！” 那么你会感到宽慰，因为我们已经知道各国政府已经开始了。这是个好消息。坏消息是，越来越难以在决定破坏软件供应链的对手之前保持几步。

软件供应链连接每个人和所有事物。对这个连接网络的攻击可能是明目张胆的，具有破坏性的后果。有一点我没有充分考虑过？对可信度和可用性的低级别持续攻击如何破坏权威并撼动民主的基础。两者都是严重威胁。

作为正在进行的对话的一部分，Sonatype参加了由华盛顿特区大西洋理事会主办的第八届年度网络参与国际会议（ICCE）会议。

我们的高级讲故事人Mark Miller与大西洋理事会合作，致力于推动政策选择和战略，以创造一个更加安全和繁荣的世界，并建立了一个特定的会议，讨论确保软件供应链安全的考验和磨难。它包括一群令人难以置信的行业专家：

CISCO全球价值链首席安全官Edna Conway

Joyce Corell，美国国家情报总监办公室国家反情报和安全中心供应链和网络理事会助理总监

Bob Kolasky，美国国土安全部网络安全和基础设施安全局国家风险管理中心主任

Suzanne Schwartz博士，美国食品和药物管理局设备与放射卫生中心科学与战略合作伙伴关系主任

虽然整个谈话值得倾听（链接如下），但我还是有一些关键点在思考。

问：软件供应链中最薄弱的环节是什么？“

A.人！

变更管理是一个关键的载体，因为负责安全流程的人员通常具有嵌入式知识和态势感知。后继者可能会或可能不会充分了解软件的相互依赖性。这会产生内部弱点，可被恶意企图利用。

问：“政府和私营部门软件供应链之间有什么区别？”

答：诀窍问题！两者都在其软件中使用开源组件

在包含和纠正软件供应链威胁时，私营部门可以更灵活地操作。政府软件供应链规模更大，更复杂。对政府SSC的攻击对整个人口构成重大风险。

问：“我们如何找到值得信赖的软件供应商？”

A：人！（是的，再一次。）

信任是所有供应链流程的基础。软件供应链不受其他行业（工业，运输，医疗）的监管，这给公司，组织和个人带来了额外的风险。必须结合行业主导的举措和政府立法来支持安全。

除此之外，我认为谈话中最强大的时刻来自埃德娜，他说：

公私合作伙伴关系和跨行业信息共享从未像现在这样重要。忘记拯救地球，如果我们没有做到这一点，我们将打破网络战。现在是时候了，没有时间等待。

我并不特别担心臭氧层被耗尽，这不会杀死我，网络战将首先。我们必须踏上信息共享之旅，与盟友分享，了解我们的对手，并在巨大的第三方生态系统中取得有意义的进展。这将是一个有意义的改进。

与此同时，必须记录实际步骤：制造商如何展示可信组件？什么证据确保安全？政府机构或私营部门的竞争对手如何在国内和国际上代表安全方面进行合作？

供应链安全和软件

虽然从表面上看，网络战的想法可能看似极端，但请花一点时间来了解我们集体软件供应链中当前漏洞的数量。答案是数百万。

软件开发越来越多地受到开源组件组装的驱动，而不是从头开始编写脚本。高达90％的典型软件占用空间由开源组件组成。优点是非常有效的软件开发。缺点是漏洞的泛滥。

该战略和国际问题研究中心（CSIS）主办的小组讨论中，供应链的安全软件，在华盛顿也举行重点讨论了美国政府及其合作伙伴正在做的，专门为日益增长的安全问题，无论是通过立法和战术。

我们自己的Derek Weeks 坐在面板上：

Allan Friedman，国家电信信息管理局网络安全倡议主任

Bob Metzger，共同作者MITER“提供不妥协的”; DC办公室负责人，Rogers Joseph O'Donnell，PC

Tommy Ross，BSA隐私高级总监 软件联盟

Roberta Stempfley，卡内基梅隆大学软件工程研究所CERT部门主任

理解问题深度的关键是能够量化它。为此，Derek分享了我们在年度软件供应链状态报告和DevSecOps社区调查中收集的经验数据。两者都表明软件经常受到攻击。

一些例子包括：

增加曝光率：在接受调查的5,500名专业开发人员中，有四分之一的人在过去12个月中遇到了导致漏洞漏洞的安全漏洞。自2014年Heartbleed漏洞以来，这一数字增长了71％。

规模越来越大：仅关注Java开发人员就会发现生产中的漏洞越来越多。去年，全球900万Java开发人员消耗了1460亿个组件。而且，普通企业正在从数千家供应商处消耗300,000个单独的Java组件。在JavaScript开发人员领域，他们每周都会消耗90亿个JavaScript组件。其中，下载的所有Java组件中有12％具有已知漏洞，并且令人惊讶的是51％的JavaScript软件包具有已知漏洞。

Derek接着详细介绍了恶意代码注入的增加情况（过去18个月详细介绍了14个问题 - 过去两年我们一直在密切关注）。例如，在2018年11月，即使在发现其妥协之后，也会每周下载50万次社交工程恶意提交代码。这种情况与众所周知的Tylenol篡改没有什么不同，因为强迫包装改变了消费者安全。恶意提交代码就像在工厂篡改Tylenol一样。通过将毒药直接插入片剂生产中，可以大规模地造成损害。

那么，网络安全的未来是什么？

商业行业和政府机构都必须采取行动解决广泛的软件供应链漏洞。虽然法规和法规遵从的到来，当你看从国家安全到消费者的健康利益是什么，行动的时间必须是现在，调控与否。