近期，金融界傳來重要聲音，摩根大通的首席信息安全官Patrick Opet于4月28日致信眾多第三方軟件供應(yīng)商，警示當(dāng)前SaaS（軟件即服務(wù)）模式下潛藏的供應(yīng)鏈安全風(fēng)險(xiǎn)日益凸顯，呼吁業(yè)界高度重視。

在這封公開信中，Opet指出，SaaS模式的普及讓眾多組織高度集中于少數(shù)幾個(gè)軟件服務(wù)提供商，盡管這一模式有效降低了重復(fù)開發(fā)的成本，但也帶來了前所未有的風(fēng)險(xiǎn)。上游軟件供應(yīng)商的任何安全漏洞都可能迅速波及下游的廣大客戶，進(jìn)而對(duì)全球經(jīng)濟(jì)體系構(gòu)成威脅，這是傳統(tǒng)軟件交付模式所未曾預(yù)見的問題。

Opet特別強(qiáng)調(diào)了第三方軟件供應(yīng)商在追求開發(fā)速度和市場占有率時(shí)可能忽視的安全隱患。他指出，這種片面追求可能導(dǎo)致軟件在安全性上存在明顯不足，為攻擊者提供可乘之機(jī)，進(jìn)而對(duì)整個(gè)客戶生態(tài)系統(tǒng)構(gòu)成重大風(fēng)險(xiǎn)。他呼吁供應(yīng)商應(yīng)將安全性視為開發(fā)過程中的核心要素，而非僅僅滿足于年度合規(guī)檢查的要求。

Opet還指出，SaaS的集成模式正在深刻改變公司集成服務(wù)和數(shù)據(jù)的方式。傳統(tǒng)的分層隔離界限已被打破，數(shù)據(jù)訪問權(quán)限的控制越來越依賴于現(xiàn)代身份協(xié)議。因此，SaaS軟件的安全架構(gòu)必須實(shí)現(xiàn)現(xiàn)代化，以適應(yīng)這一變化。

在當(dāng)前高度互聯(lián)的軟件生態(tài)中，基礎(chǔ)風(fēng)險(xiǎn)被數(shù)據(jù)管理、自動(dòng)化、人工智能等領(lǐng)域的爆炸式增長所放大并分散。Opet認(rèn)為，這進(jìn)一步加劇了SaaS模式下的安全風(fēng)險(xiǎn)，使得每一個(gè)細(xì)節(jié)都可能成為攻擊者的突破口。

面對(duì)這一嚴(yán)峻形勢，Opet向第三方軟件供應(yīng)商發(fā)出了緊急呼吁。他要求供應(yīng)商重新確定安全性的優(yōu)先級(jí)，將其置于或高于推出新產(chǎn)品的位置。他強(qiáng)調(diào)，真正的“安全且有彈性的設(shè)計(jì)”不應(yīng)僅僅停留在紙面上，而應(yīng)成為軟件開發(fā)和運(yùn)維過程中的實(shí)際行動(dòng)。

Opet的這番言論無疑為整個(gè)軟件行業(yè)敲響了警鐘。在SaaS模式日益盛行的今天，如何平衡開發(fā)速度、市場占有率與安全性之間的關(guān)系，已成為每一個(gè)軟件供應(yīng)商必須面對(duì)的重要課題。