新年立下新志向，开啓新徵程。對於 CISO 和 CSO們來說，這也意味着他們能夠借此機會打造能把自身企業安全作爲優先考量的解決方案。 

去年，整個業界在加強軟件供應鏈安全方面取得了顯著進展，但安全團隊在軟件供應鏈方面仍然面臨着許多潛在的威脅。AI/ML模型中惡意代碼的猖獗使用、遭入侵的开源軟件、漏洞利用等問題仍持續困擾着企業。 

爲在 2024 年確保軟件供應鏈盡可能安全，安全專業人士必須在今年致力於做好以下五大關鍵，包括： 

對於开源代碼，在信任的同時要對其進行驗證

警惕安全解決方案和代碼开發中的AI/ML

不要對零日漏洞感到恐慌

將 SBOM 作爲安全战略的必備要素進行集成

採取“左移”战略 

對於开源代碼，在信任的同時要對其進行驗證 

安全領導者面臨的最嚴峻挑战之一就是开源軟件的威脅。許多开發者盲目信任來自公共开源代碼庫的軟件，認爲它們不存在安全和合規性問題。然而，未能對代碼進行包含必要的安全控制等在內的正確審查以確保其始終處於最新狀態，會使組織遭受軟件供應鏈攻擊的風險增高。 

步入 2024 年，安全領導者必須在信任开發者开源編碼實踐的同時對其進行驗證。安全風險往往始於开發者從這些公共資源庫下載代碼的那一刻。通過確保自始對代碼進行充分審查，安全領導者就能主動減輕對軟件供應鏈的威脅，避免造成不可挽回的損失。 

警惕安全解決方案和代碼开發中的AI/ML

 2023年，人工智能的興起推動了創新，但也引起了人們對安全問題的高度關注。軟件开發安全方面的疏忽可能會無意中將惡意代碼引入AI/ML 模型，讓攻擊者有機可乘，由此對企業造成進一步的損害。 

开發者還可能會使用從公共 AI/ML 源生成的代碼，而不知道模型是否已遭到入侵。如果盲目信任AI/ML 模型，就可能會給企業招致更多的漏洞——所有來自AI/ML 源的代碼都必須經過審查。 

無需對零日漏洞感到恐慌 

2023 年，網絡犯罪分子利用零日漏洞的速度創下了歷史新高，而新的一年裏，這一趨勢還將持續。 

面對零日攻擊，安全團隊常常會感到恐慌，不確定 CVE （關鍵漏洞披露）會產生怎樣的影響。雖然CVE可能存在於他們的軟件中，但也完全有可能在極端特殊情況下被利用，而這些情況並不適用於該企業。在這種情況下，可能會無緣無故地對最終用戶實施耗時且可能具有破壞性的補丁。 

今年，CISO 和 CSO 們在採取行動之前，需要先了解 CVE 及其與企業的關系。盲目修補可能弊大於利，而將 CVE 與具體情況聯系起來，則有助於更好地保護企業並明確真正需要採取的行動。 

將 SBOM 作爲必備要素納入安全战略 

SBOM 已成爲安全領導者使用的重要 DevSecOps 工具，因其能爲用戶提供更快的識別方法，縮短恢復時間，提高代碼修復的效率和效力，並在更嚴格的監管環境中增強合規性。 

SBOM 可以系統性地跟蹤每個應用程序中存在的組件，以及應用程序運行所需的依賴項，使安全團隊能夠准確地查看在發生漏洞利用時受到影響的系統。此外，在 2024 年，網絡安全監管環境還將繼續收緊，這使得 SBOM 不再只是“錦上添花”的存在，而且是確保遵守新規則的必需。 

採取“左移”战略 

對於安全領導者來說，落實上述所有的解決方案可能是一項艱巨的任務，這也是爲什么CSO 和 CISO 們在 2024 年必須採用“左移”的方法來確保安全性。 

通過從一开始就將安全納入軟件开發，安全領導者可以確保爲其軟件供應鏈建立更加積極主動的防线。這樣，他們在軟件开發中使用开源或公开开發的 AI/ML 代碼時就更具靈活性，可以更好地控制爲其企業而構建的AI/ML 模型，確保盡可能降低CVE 漏洞利用的可能性，並提高了 SBOM 的有效性。 

步入2024 年並展望更遠的未來，軟件領域的復雜性只會有增無減。通過在軟件供應鏈安全方面採取“左移”思維，CISO 和 CSO 們可以確保企業更強大、更具韌性，以應對新的安全挑战。

（來源：JFrog大中華區總經理董任遠）

       原文標題 : 2024 年企業安全領導者需要謹記的五大關鍵

---

標題：2024 年企業安全領導者需要謹記的五大關鍵

地址：https://www.utechfun.com/post/340785.html