SolarWinds 安全漏洞
开源软件风险日益增加
如果您的组织使用开源软件、Python 和 R,您的供应链可能面临风险。
Anaconda 是唯一一家为开源软件包、用户令牌化访问、软件物料清单和漏洞管理提供可信来源的供应商。 让我们安全专家帮助您识别独特的风险领域,并提供定制化的后续步骤,以增强开源软件供应链的安全性。
责任负担转移到软件制造商和发布商
2019 年 9 月
2021 年 5 月
白宫 14028 号行政命令启动了多项网络安全改进计划。
2022 年 2 月
国家标准与技术研究院 (NIST) 发布了 NIST 软件供应链安全指南和 NIST 安全软件开发框架 (SSDF)。
2022 年 9 月
美国管理和预算办公室引入了备忘录 M-22-18,该备忘录将 NIST 框架正式确定为联邦政府机构及其软件供应商安全软件开发的强制性框架。
2023 年 1 月
CircleCI 安全漏洞。
2023 年 3 月
白宫发布了《国家网络安全战略》,强调需要通过实施 NIST SSDF 指南来提高开源软件的安全性。 该战略将不安全软件的责任分配给制造商和软件发布商。
威胁行为者瞄准开源,而开源安全解决方案无法保护您的组织。
开源软件本身就存在漏洞。 如果您处理敏感数据或在高度监管的行业工作,则在使用 PyPI 或 Conda-forge 等平台时可能会暴露潜在风险,而这些负责任的开源软件维护者已警告制造商,这些软件包不适合商业用途。
策略控制是必要的,它们只是您的第一道防线。
数据泄露变得越来越普遍且代价高昂。 战略性安全策略和控制是您抵御网络威胁的第一道防线。 这些平台的开放性可能会使这些措施变得复杂且资源密集。 您可能会发现您需要组装多个定制解决方案来扫描、控制工件和构建策略。
责任负担正在转移到软件制造商和发布商。
网络安全框架(例如美国国家标准与技术研究院 (2023) 创建的框架)强调所有利益相关者在保护数字生态系统方面的共同责任。 他们建议进行风险评估、实施安全措施和报告事件。 不合规可能会导致处罚和声誉损害。
Anaconda 可以提供帮助
认识我们的开源安全专家
Hassam Mian
Hassam 是 Anaconda 的首席高级销售工程师。 Hassam 在开源技术和企业数据科学领域的供应商应用方面拥有深厚的背景,他帮助各行各业的商业客户实施和采用开源治理和漏洞管理的最佳实践。
Fara Manjili
Fara 是 Anaconda 的销售工程师。 Fara 在解决方案架构师、销售工程师、实施和项目管理等技术和战略职位上拥有超过 15 年的经验,她帮助商业客户安全地利用开源工具。
Frank Yang
Frank 是 Anaconda 的首席解决方案架构师。 Frank 在为世界上一些最大的金融机构设计和实施解决方案方面拥有丰富的经验,他帮助组织利用开源软件来执行高价值计划,同时不影响安全性和治理。