探索中国CIO人才现状 | 第四季调研报告
软件采购可能引入新的安全风险
2013-12-01  作者:CIO发展中心 MaxTian 
    【CIO发展中心独家】日前,在芝加哥召开的2013年(ISC)2安全大会期间,某行业组织指出,企业在采购新的软件时,可能会引入新的安全漏洞。
 
  (ISC)2应用安全顾问委员会下属的供应链安全分会主席理查德Tychanskys认为:“管理风险意味着要发现和理解存在于商业软件中的漏洞。现实情况是,正在出售的商业化应用软件就可能存在安全漏洞问题。应用软件正日益成为攻击者的目标。”
 
  Cisco的安全策略师托尼维加斯说:“软件关系到现代社会的方方面面,所以软件安全是一件人人都应该关心的事情”。
 
  赛门铁克公司的高级首席软件工程师EdwardBonver也认为,问题主要源于多数企业在采购软件时不了解可能引入的潜在风险:“考虑到可能的风险,企业应该做一些研究,以了解可能购买的是什么软件。多数情况下,企业不会这么做,不会意识到将要承担的风险。”
 
  SecuRisk Solutions的首席执行官马诺保罗认为,除了由不安全的软件开发方法所引入的意外漏洞外,商业软件也可能受到有意的破坏,恶意代码或逻辑可能会被安插在供应链的某些节点上,有时这些正是由地恶意的企业内部人员所为。
 
  Bonver认为:采购流程需要经过一定的设计,以实现对软件的保护,在采购软件之前多问一些正确的问题非常必要。买家在开始和卖方对话时,一般拥有一定的优势。企业应该对被采购软件的开发过程有清楚的了解,这样才能确保以安全方式开发的软件,也能持续安全地在供应链中运行。
 
  在Bonver看来,买方在购买软件时,至少该提出以下的问题:
 
  ●开发商是如何确保代码安全的?
 
  ●开发过程中的安全性是如何做的?
 
  ●如何测试代码的安全漏洞?
 
  ●采用了什么样的威胁模式来验证?
 
  ●软件是否有任何已知的漏洞?
 
  ●是否采用了任何第三方或开源的组件?
 
  ●开发者是否经历过安全编码方面的培训?
 
  ●如何确保代码在整个供应链中的持续安全?
 
  Tychansky则表示,软件供应商的技术团队应该在采购谈判时出席,以确保供应商不能绕过和代码风险相关的问题。这个要求可以在完整的采购策略中正确定义,并得以严格执行。
 
  如果没有正式的安全软件要求,公司中运行的软件被黑客攻击的可能性会显著的增加。在最终的购买决策中,成本因素将超越安全考虑。另外,采购软件前,要首先使其在公司环境下运行,以测试其持续工作的安全性能。巴尔加斯说,采购战略也限制企业购买任何不能符合企业自身安全规则要求的软件。
 
  每个企业都应该制定相应的政策,来管理所有的软件采购,并应明确地告知供应商,他们不会购买任何不符合相关政策的产品。凡软件系统涉及敏感数据的地方,供应商应该在合同中保证代码中没有漏洞。
 
  软件部署后,应该立即利用专门的工具,验证供应商所谓软件无漏洞的情况是否属实。采购合同中还要有专门的条款,以保证代码中的漏洞被发现后,合同还可以继续得以执行。这方面一个非常有用的指标,就是有关软件漏洞“修复时间”的规定。
 
(来源:CIO发展中心)