供应链不足造成网络安全问题的噩梦
发布时间:2022-07-26 15:38:56 所属栏目:安全 来源:互联网
导读:美国政府最近警告说,许多制造商面临供应链中断的困扰,重建供应链是重中之重。一些分析人士认为,在新冠疫情消退之前,可能需要几个月甚至几年的时间才能恢复。 医疗设备制造商并未被排除在这种供应链中断之外,但也不能在供应链恢复之前暂停生产。企业需要
|
美国政府最近警告说,许多制造商面临供应链中断的困扰,重建供应链是重中之重。一些分析人士认为,在新冠疫情消退之前,可能需要几个月甚至几年的时间才能恢复。 医疗设备制造商并未被排除在这种供应链中断之外,但也不能在供应链恢复之前暂停生产。企业需要保持生产顺畅,这就需要寻找新的供应商。然而,新的供应商或者没有经过审查的供应商将会带来新的风险,以及将漏洞和威胁引入产品或设备生命周期的可能性。 有时,避免短缺的唯一方法是找到不同的供应商来满足要求。这对于医疗设备尤其重要,因为准时生产和及时交付可能是一个生死攸关的问题。 当新的供应商加入时,仍然需要建立信任。由于以前并不了解,因此选择需要更加谨慎,尤其是在审查供应商产品的质量时必须监控软件漏洞,这对产品安全至关重要。这是第一步,为了满足美国食品药品监督管理局(FDA)对医疗设备的严格要求,确保组件互操作、容错并且不存在任何固有漏洞至关重要。 代码中的漏洞 任何时候从开源库开发或集成代码时,都可能存在未发现的缺陷。任何包含软件的设备都可能在其中或其使用的软件库中出现错误。在开发过程的早期评估这一点,对于安全产品开发和尽早发现漏洞以降低风险和减少损害至关重要。 如今,开发软件更多的是组合而不是编写,利用商业和开源软件来创建设备功能的核心。这些组件在加快构建时间的同时,也引入了潜在的漏洞。例如,直到最近,Log4j库才被认为是行业标准和日志功能的安全开源补充。2021年12月,这些库被确定为具有远程代码执行(RCE)漏洞,该漏洞获得了10分的最高CVSS分数。在发现之后,世界各地的企业都争先恐后地修补这一漏洞,以免网络攻击者利用。 信任但要验证 与新供应商合作的第一步是从安全角度验证他们的技术。跟踪这项工作的结果对于确定可靠的供应商以及可能提供有缺陷或易受攻击产品的供应商至关重要。然而,验证供应商组件和产品软件的安全状况并不容易。在许多情况下,源代码并不容易获得,因此必须通过其他途径获得可见性,例如不依赖于源代码可用的二进制分析。 并非每个漏洞评估工具都能提供准确的结果,可靠的解决方案需要了解已发现漏洞的潜在范围和可访问性。这一信息将有助于缩小漏洞是否适用于其产品。使用验证和测试工具来评估编译的代码,对于保证不提供直接代码可见性的产品的安全性至关重要。  (编辑:PHP编程网 - 黄冈站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330482号