预测软件供应链安全的未来十年

快速阅读: 据《Cyber Scoop 独家新闻》最新报道，在新政府领导下，软件安全与创新需同步推进。过去几年的供应链攻击暴露了现有安全机制的不足。为应对挑战，新标准如Sigstore正逐步形成，推动代码签名的普及。未来，安全应成为开发工具和流程的内在部分，确保每行代码默认安全。这不仅关乎企业发展，也关乎社会整体安全。

丹·洛伦克是Chainguard的联合创始人兼首席执行官。

在新政府领导下的创新步伐迅速加快，关于软件安全是否会为了速度而被边缘化的讨论正在升温。然而，安全领导者长期以来一直在说，安全协议不应减缓开发计划——如果正确执行，它们不会减缓。这种观念必须更为广泛地被接受，以便创新和安全能够同时进行。防范窃贼进入你的房屋。

当前，软件行业正处于十字路口。在过去几年里，供应链攻击——从SolarWinds攻击到Log4Shell漏洞——已经动摇了我们对我们数字基础设施基本安全的信心。这些攻击将可信工具变成了威胁，而大多数行业对此束手无策。这就像一个小偷闯入你的家，即使你可以在安全摄像头中看到他们掠夺你的个人物品，你也无法在事后做任何事情。如果摄像头只能记录盗窃，扫描仪只能检测到已存在的威胁，那还有什么用？如果我们能从根本上防止窃贼进入你的房屋，并完全消除对组织的威胁呢？

转变安全与创新的意义。展望2035年，我们设想一个截然不同的景象。开发团队不再为诸如“我们的软件中到底有什么？”和“我们能否信任这些依赖关系？”这样的基本问题而挣扎。相反，我们将看到一个未来，在这个未来中，开发环境自动验证依赖关系的完整性，就像今天的语法高亮一样。每个容器镜像都直接从源代码构建，并携带其构建过程和组成的加密证明——并且每个漏洞都得到修复。在这个世界中，安全是内置的，并且促进了创新。

这一转型的基石已经开始显现。供应链完整性的新标准正在形成，这是由行政命令和行业倡议推动的。例如，Sigstore正在展示我们如何使代码签名变得普遍和易于访问。这不仅仅是更好的工具——而是从根本上改变了我们对安全和生产力的看法。当精心设计并无缝集成时，安全控制实际上可以消除整个类别的风险及其引发的事件，从而加速发展。

要达到这个未来，需要解决重大挑战，并在整个软件生态系统中进行合作——从个别开发者到最大的企业，从开源维护者到云服务提供商。通过将安全作为我们开发工具和流程的内在组成部分，而不是可选层，我们可以构建一个每行代码默认安全的世界，并通过验证而非假设建立信任。这不仅对企业至关重要，也对我们的社会至关重要。随着软件越来越多地驱动关键基础设施、医疗设备和金融系统，我们的供应链安全与我们的集体安全密不可分。

这不仅仅是一个理想化的目标——而是一个迫切需要实现的未来。在2035年繁荣发展的组织将是那些在2025年就认识到这一现实并开始相应调整的组织。

丹·洛伦克是Chainguard的联合创始人兼首席执行官。

(以上内容均由Ai生成)