网络安全事件是当今组织面临的最大威胁之一。现在,在高调的软件供应链攻击之后,美国联邦政府正在采取大胆行动,加强国家的网络韧性。5 月 12 日,拜登总统发布了备受期待的关于改进国家网络安全的行政命令,呼吁对出售给联邦政府的软件制定严格的新安全准则,这将对整个软件市场产生广泛的影响。
新政策的出台正值复杂的网络攻击日益频繁和严重之际,最近的例子是对美国最大的燃料供应来源 Colonial Pipeline 的勒索软件攻击。然而,尽管恶意活动令人不安地呈上升趋势,但大多数组织仍然只对其软件应用程序的组成部分有部分了解,这使他们暴露于未知的软件组件漏洞,并阻碍了响应工作。
Anaconda 如何支持安全的软件供应链
在 Anaconda,我们支持政府建立行业标准格式的计划,以实现软件组件的完全可见性和准确识别。通过要求政府承包商为每个产品向采购机构提供标准化的软件物料清单 (SBOM),政府正在利用美国联邦采购无与伦比的力量,为网络安全和治理实践设定新标准。
Anaconda 致力于为开源社区和我们超过 2500 万开源用户提供安全的软件供应链的价值。我们的私有、安全构建系统包括恶意软件扫描、签名以及改进的通用漏洞披露 (CVE) 匹配和修复信息,使组织能够构建根据其独特需求和策略量身定制的安全供应链。
我们正在努力遵守标准的 SBOM,这将允许以易于理解的格式快速生成数据。Anaconda 正在更新我们的工具集,以提供 CycloneDX SBOM 格式,用于我们的软件包元数据,包括许可证详细信息、依赖项和精选的 CVE 分数。CycloneDX 促进系统、客户、合作伙伴和监管机构之间可操作的 SBOM 共享。
在开源中提供安全和信任
开发人员和数据科学家需要解决现代软件包中嵌入的复杂性和相互依赖性的安全和治理能力。Anaconda 仓库(开源和专有软件包的存储、检索或共享地)正在不断发展以满足这些需求。
Anaconda 还采取措施,在开发人员和用户中推广强大的网络安全实践。例如,定期查阅 CVE 数据库和分数,以防范在应用程序中使用易受攻击的软件包和二进制文件的风险,这是一项基本的网络安全实践。Anaconda 通过允许管理员根据我们精选的已知漏洞数据库过滤对软件包和文件的访问来自动化此过程,使团队能够专注于构建模型。Anaconda 还提供内容信任功能,如 conda 签名验证。此工具确保软件包和元数据与它们在我们安全构建网络上生成时保持不变,从而提供对可能的妥协的透明度,同时减少中间人攻击、镜像泄露等的影响。
携手合作,正面应对风险
这项行政命令是朝着扭转恶意网络活动浪潮迈出的重要一步,这些活动危及全国的信息和运营技术。在 Anaconda,我们致力于尽自己的一份力量,继续创新工具,以支持我们的客户利用开源软件的能力,同时保持最高的企业安全标准。虽然漏洞不可避免,但如果我们本着透明和协作的精神共同努力,漏洞和黑客攻击并非不可避免。
