近期,金融界传来重要声音,摩根大通的首席信息安全官Patrick Opet于4月28日致信众多第三方软件供应商,警示当前SaaS(软件即服务)模式下潜藏的供应链安全风险日益凸显,呼吁业界高度重视。
在这封公开信中,Opet指出,SaaS模式的普及让众多组织高度集中于少数几个软件服务提供商,尽管这一模式有效降低了重复开发的成本,但也带来了前所未有的风险。上游软件供应商的任何安全漏洞都可能迅速波及下游的广大客户,进而对全球经济体系构成威胁,这是传统软件交付模式所未曾预见的问题。
Opet特别强调了第三方软件供应商在追求开发速度和市场占有率时可能忽视的安全隐患。他指出,这种片面追求可能导致软件在安全性上存在明显不足,为攻击者提供可乘之机,进而对整个客户生态系统构成重大风险。他呼吁供应商应将安全性视为开发过程中的核心要素,而非仅仅满足于年度合规检查的要求。
Opet还指出,SaaS的集成模式正在深刻改变公司集成服务和数据的方式。传统的分层隔离界限已被打破,数据访问权限的控制越来越依赖于现代身份协议。因此,SaaS软件的安全架构必须实现现代化,以适应这一变化。
在当前高度互联的软件生态中,基础风险被数据管理、自动化、人工智能等领域的爆炸式增长所放大并分散。Opet认为,这进一步加剧了SaaS模式下的安全风险,使得每一个细节都可能成为攻击者的突破口。
面对这一严峻形势,Opet向第三方软件供应商发出了紧急呼吁。他要求供应商重新确定安全性的优先级,将其置于或高于推出新产品的位置。他强调,真正的“安全且有弹性的设计”不应仅仅停留在纸面上,而应成为软件开发和运维过程中的实际行动。
Opet的这番言论无疑为整个软件行业敲响了警钟。在SaaS模式日益盛行的今天,如何平衡开发速度、市场占有率与安全性之间的关系,已成为每一个软件供应商必须面对的重要课题。
