网络安全事件是当今组织面临的最重大威胁之一。在高调的软件供应链攻击事件之后,美国联邦政府正在采取大胆行动,加强该国的网络弹性。5 月 12 日,拜登总统发布了备受期待的关于改善国家网络安全的行政命令,要求对销售给联邦政府的软件实施严格的新安全指南,其广泛的影响将波及整个软件市场。
随着复杂的网络攻击频率和严重程度不断上升,最近的例子是针对美国最大燃料供应来源 Colonial Pipeline 的勒索软件攻击。然而,尽管恶意活动令人担忧地呈上升趋势,但大多数组织仍然只对软件应用程序的构成有一部分了解,这使得他们暴露于未知的软件组件漏洞,并阻碍了响应工作。
Anaconda 如何支持安全的软件供应链
在 Anaconda,我们支持政府的计划,以建立行业标准格式,从而实现对软件组件的完全可见性和准确识别。通过要求政府承包商向采购机构提供每个产品的标准化软件物料清单 (SBOM),政府正在利用美国联邦采购的无与伦比的力量,为网络安全和治理实践设定新的标准。
Anaconda 致力于为开源社区提供价值,并为我们超过 2500 万开源用户提供安全的软件供应链。我们的私有安全构建系统包括恶意软件扫描、签名以及改进的常见漏洞和暴露 (CVE) 匹配和修复信息,使组织能够构建符合其独特需求和策略的安全供应链。
我们正在努力遵守标准 SBOM,这将允许以易于理解的格式快速生成数据。Anaconda 正在更新我们的工具集,以提供CycloneDX SBOM 格式,用于我们的软件包元数据,包括许可证详细信息、依赖项和精选的 CVE 评分。CycloneDX 简化了系统、客户、合作伙伴和监管机构之间可操作的 SBOM 共享。
在开源中提供安全性和信任
开发人员和数据科学家需要解决现代软件包中嵌入的复杂性和相互依赖性的安全性和治理功能。Anaconda 存储库是开源和专有软件包存储、检索或共享的地方,正在不断发展以满足这些需求。
Anaconda 还采取措施,以促进开发人员和用户之间强大的网络安全实践。例如,定期咨询CVE 数据库和评分,以防范在应用程序中使用易受攻击的软件包和二进制文件的风险,这是网络安全的基础实践。Anaconda 通过允许管理员根据我们精选的已知漏洞数据库过滤对软件包和文件的访问来自动化此过程,从而使团队能够专注于构建模型。Anaconda 还提供内容信任功能,例如conda 签名验证。此工具确保软件包和元数据与它们在我们安全构建网络上生成时的状态保持一致,从而提供对可能发生的破坏的透明度,同时减少中间人攻击、受损镜像等的影响。
共同努力,正面应对风险
该行政命令是扭转这种危及全国信息和运营技术的恶意网络活动浪潮的重要一步。在 Anaconda,我们致力于尽我们的一份力量,继续创新支持客户利用开源软件同时保持最高企业安全标准的能力的工具。虽然漏洞是不可避免的,但如果我们本着透明和合作的精神共同努力,入侵和黑客攻击就不必发生。
