新 CISA 指 指南未能满足 南存在不足
SBOM 适用于网站吗？

作者：Source Defense

美国国土安全部网络 台湾数据 安全和基础设施安全局 (CISA) 与国家安全局合作，最近发布了针对各组织保护其软件供应链的指南。

Source Defense 的研究显示，客户端 Web 应用程序的数字供应链也面临类似的严峻挑战。Source Defense 对全球流量排名前 4,300 的网站进行了分析，结果表明，这些网站使用的第三方脚本平均数量为 12 个。一般来说，至少在一个敏感页面上（例如登录和凭证获取页面）会出现 12 个第三方和第四方脚本。

例如，在零售行业，平均每个电子商务网站使用数十种第三方工具。零售商表示，他们计划每年平均在其网站上添加 3 到 5 种新的第三方技术。这些第三方工具是网络犯罪分子拦截和窃取客户数据的机制。

威胁形势正在发生变化

CISA 指南明确强调，组 爱情赞歌看多了用户也难 织需要了解威胁形势的变化，特别是攻击者用来破坏客户端和服务器端应用程序的方法。报告指出：“威胁行为者不会等待漏洞公开披露，而是主动将恶意代码注入产品中，然后通过全球软件供应链合法地向下游分发。” “在过去几年中，这些下一代软件供应链攻击在开源和商业软件产品中都显著增加。”

该指南承认，COVID 疫情迫使许多组织迅速采用 SaaS 应用程序，而牺牲了安全监控和审查。其中许多应用程序专注于增强、改进和优化工作流程和在线客户参与度。该指南特别建议组织设计或获取“一种机制来监控和扫描直接连接到云环境的第三方应用程序”。

毫不奇怪，在支付卡行业数据安全标准 (PCI DSS) 的最新更新中也可以找到相同类型的指导 – PCI 委员会明确要求对支付处理网站上使用的所有第三方 JavaScript 进行盘点、监控并防止其受到损害。

等待行动只会等着被攻击。请求 Source Defense 平台的演示，并获取针对您企业的个性化威胁分析。

关于 Source Defense

Source Defense 是一个安全 阿根廷數據 和数据隐私合规平台，适用于任何收集敏感数据或面向交易的网站。它通过一种将安全性从网络扩展到客户端的模型来解决第三方数字供应链风险管理中普遍存在的漏洞。作为 Web 应用程序客户端保护领域的市场领导者，Source Defense 提供实时威胁检测、保护和预防源自 JavaScript 的漏洞。