摩根大通首席信息安全官公開(kāi)信：號(hào)召第三方 SaaS 供應(yīng)商重視安全問(wèn)題

IT之家 5 月 10 日消息，金融巨頭摩根大通的 CISO（IT之家注：首席信息安全官）Patrick Opet 當(dāng)?shù)貢r(shí)間 4 月 28 日向第三方軟件[IT江湖]供應(yīng)商發(fā)布了一封公開(kāi)信，強(qiáng)調(diào)流行的 SaaS 軟件[IT江湖]即服務(wù)模式正為軟件[IT江湖]供應(yīng)鏈帶來(lái)愈發(fā)嚴(yán)重的風(fēng)險(xiǎn)，供應(yīng)商應(yīng)重視安全風(fēng)險(xiǎn)。

公開(kāi)信表示，目前的 SaaS 模式使得各類(lèi)組織嚴(yán)重依賴(lài)于一小部分軟件[IT江湖]服務(wù)提供商，這固然降低了重復(fù)開(kāi)發(fā)成本，但也意味著軟件[IT江湖]供應(yīng)鏈上游的任何問(wèn)題都可能會(huì)波及到廣泛的下游客戶(hù)，最終削弱全球經(jīng)濟(jì)體系，這是以往軟件[IT江湖]交付模式下未曾有過(guò)的。

Patrick Opet 呼吁第三方軟件[IT江湖]供應(yīng)商在開(kāi)發(fā)中不要片面追求開(kāi)發(fā)速度和市場(chǎng)占有，這很可能會(huì)導(dǎo)致軟件[IT江湖]在安全性上存在不足，給予攻擊者可利用的弱點(diǎn)，為整個(gè)客戶(hù)生態(tài)系統(tǒng)帶來(lái)重大風(fēng)險(xiǎn)。

此外，SaaS 的集成模式正在從根本上重塑公司集成服務(wù)和數(shù)據(jù)的方式，傳統(tǒng)的分層隔離界限已被打破，數(shù)據(jù)訪(fǎng)問(wèn)權(quán)限的控制嚴(yán)重依賴(lài)現(xiàn)代身份協(xié)議，因此 SaaS 軟件[IT江湖]的安全架構(gòu)必須實(shí)現(xiàn)現(xiàn)代化。

更進(jìn)一步的，現(xiàn)有軟件[IT江湖]生態(tài)高度互相關(guān)聯(lián)，基礎(chǔ)風(fēng)險(xiǎn)又被數(shù)據(jù)管理、自動(dòng)化、人工智能和 AI 智能體領(lǐng)域新價(jià)值服務(wù)的爆炸式增長(zhǎng)放大并分散。

Patrick Opet 號(hào)召第三方軟件[IT江湖]供應(yīng)商緊急重新確定安全性的優(yōu)先級(jí)，將其置于或高于推出新產(chǎn)品的位置，把“安全且有彈性的設(shè)計(jì)”落到實(shí)處，而不僅限于年度合規(guī)檢查的層面上。