Szoftverellátási lánc: mindenkit érint
Mivel a szoftverellátási láncot érő támadások száma egyre nő, a szövetségi kormány hosszú távú prioritása arra irányul, hogy a felelősséget a végfelhasználókról a gyártókra hárítsa. A szoftverek biztonságának a teljes ellátási láncban történő javításához vezető út azonban nem olyan egyszerű. A termékek évtizedes technikai adósságokra épülnek, beleértve az elmúlt 40 évben írt kódokat, amelyeket ki kell javítani – mondta Dan Lorenc, a Chainguard vezérigazgatója és társalapítója. Az iparágnak nemcsak a biztonságos kód bevezetésére kell összpontosítania, hanem arra is, hogy döntéseket hozzon arról, hogy bizonyos alkalmazásokban egyáltalán megbízható-e a kód futtatása. „Ez egy fejlesztési probléma. Meg kell változtatnunk, hogy a fejlesztők hogyan írják a szoftvereket, és hogy a kezdetektől fogva gondolkodnak-e ezen” – mondta a verzérigazgató. Egy másik kihívás, hogy a sérülékenységek az ellátási lánc minden területén elterjedtek a szoftvergyártók elleni támadásoktól kezdve, egészen a széles körben használt naplózási könyvtárak, például a Log4j sérülékenységig. A szoftvergyártók elleni ellátási lánc elleni támadások listája egyre bővül, beleértve a legutóbbi 3CX-támadást, valamint a Kaseya és a SolarWinds elleni támadásokat. A Mandiant kutatói felvázolták, hogy a 3CX ellátási lánc elleni támadás valójában egy különálló szoftverellátási lánc kompromittálásának eredménye volt, és valószínűleg még több áldozata van.