偷工減料時有發生，在高風險、高速的工作中更是如此。但是，如果員工足夠誠實地承認，當他們將易受攻擊的代碼上線時，我們可以將一系列已損壞的產品組合在一起。Osterman Research 的一項新研究發現了一個令人擔憂的趨勢——81% 的開發人員承認故意推送易受攻擊的代碼。這使得威脅行為者更容易發起網絡攻擊。

但我們提到這一點并不是為了消極。相反，這是企業和機構向內看的一個很好的提示。減少供應鏈脆弱性始于創建正確的公司文化。開發人員應該安全地舉起有關易受攻擊的代碼的標志，即使這意味著可能會錯過最后期限。否則，開發人員可能會保持沉默并增加代碼的風險。如果不了解可能存在的漏洞的全貌以及對事件響應的影響，雇主就無法做出基于風險的決策。這始于一種將網絡安全內置于結構中并且是每個人的首要任務的文化。

改變公司文化如何防止網絡攻擊

然而，一個人無法解決問題。減少供應鏈網絡攻擊需要團隊合作——確定優先事項的商業領袖、網絡安全專家與開發人員和開發人員密切合作，將安全性融入到他們的代碼中。等到您已經成為供應鏈攻擊的受害者或漏洞暴露您的數據時為時已晚。

以下是開始主動降低供應鏈攻擊風險的五個關鍵：

通知開發人員有關網絡攻擊的信息

對于供應鏈攻擊，開發人員是第一線。您可能會想嘗試通過一年一度的課程或更頻繁的講座來涵蓋所有基礎知識。然而，真正最有效的是開發人員持續更新有關新網絡攻擊和最佳實踐的過程。通過使用微培訓，例如文本培訓或短視頻，開發人員既可以獲得他們需要的課程，也可以提高他們的意識。

監控開源項目

《2020 年軟件供應鏈狀況報告》發現，在 2019 年至 2020 年間，針對開源代碼的網絡攻擊增加了 430%。通過使用對手模擬參與，組織可以直接了解他們的軟件在攻擊期間的表現如何。開發人員還可以通過提高庫、包和依賴項的可見性和安全性來減少依賴項混淆問題，從而降低開源開發帶來的風險。

零信任

由于移動部分——數據、產品、集成，零信任方法對于降低供應鏈網絡攻擊風險至關重要。假設任何設備、用戶或數據都不安全，除非另有證明。這樣，您通常可以減少和消除可能損害供應鏈的威脅。

內置數據保護

供應鏈網絡攻擊的一個關鍵漏洞是應用程序中的敏感數據，這些數據必須雙向流動。此外，請確保您遵守代碼中的所有數據隱私和保護法律。開發人員應該在他們的應用程序中構建最新的加密技術。他們還應該對供應鏈使用數字簽名、會話中斷和多因素身份驗證。

關注第三方風險

供應鏈的本質是組織和應用程序協同工作以進行交付。這可能是通過物理產品或軟件安全。但是，每個新連接都意味著更多的高風險端點。請務必仔細檢查所有集成和風險。畢竟，你無法保護你不知道的東西。下一步是與供應商和合作伙伴合作，以確保所有各方都遵循網絡安全最佳實踐并提前應對風險。

在不久的將來，供應鏈攻擊不太可能消退。通過在您的應用程序和文化中構建對此類破壞性網絡攻擊的彈性，您可以降低風險。