聚焦源代碼安全,網羅國內外最新資訊!
編譯:代碼衛士
數字化時代,軟件無處不在。軟件如同社會中的「虛擬人」,已經成為支撐社會正常運轉的最基本元素之一,軟件的安全性問題也正在成為當今社會的根本性、基礎性問題。
隨着軟件產業的快速發展,軟件供應鏈也越發複雜多元,複雜的軟件供應鏈會引入一系列的安全問題,導致信息系統的整體安全防護難度越來越大。近年來,針對軟件供應鏈的安全攻擊事件一直呈快速增長態勢,造成的危害也越來越嚴重。
為此,我們推出「供應鏈安全」欄目。本欄目匯聚供應鏈安全資訊,分析供應鏈安全風險,提供緩解建議,為供應鏈安全保駕護航。
註:以往發布的部分供應鏈安全相關內容,請見文末「推薦閱讀」部分。
本周,ISACA(國際信息系統審計協會)發布《供應鏈安全差距:2022年全球研究報告》。
報告收錄了1300多名IT專業人員對於供應鏈的看法。25%的受訪者證實所在組織機構在過去一年中遭到供應鏈攻擊,超過一半(53%)的受訪人員認為供應鏈問題將在未來六個月還將繼續或者更加糟糕。
30%的受訪者認為所在組織機構領導人員並未充分了解供應鏈風險。另外,不到一半 (44%)的受訪者表示對組織機構的供應鏈安全很有信心,同樣比例的受訪者對於供應鏈的訪問控制很有信心。
受訪人員擔心的五大供應鏈風險包括:勒索攻擊(73%)、供應商的不良信息安全實踐(66%)、軟件安全漏洞(65%)、第三方數據存儲(61%),以及對信息系統、軟件代碼或IP具有物理或虛擬訪問權限的第三方服務提供商或廠商(55%)。
為了更加深入了解該報告,本文原作者對前ISACA 理事長、NACD 董事會領導層成員以及White Clous 安全公司的董事會成員 Rob Clyde 在其參加RSA 2022大會期間進行了採訪。
Q:報告提到,25%的受訪者表示在過去12個月中曾遭受供應鏈攻擊。您對這一結果感到吃驚嗎?
A:我對這個比例有點吃驚,沒想到有這麼高。顯然,很多組織機構在過去12個月的時間裡遭受了攻擊,但我認為歸罪於供應鏈的攻擊數量沒有這麼多。它肯定表明這個問題越來越多,儘管我想強調的是它並非新問題。因其中一款供應商產品而導致漏洞的產生這個看法已經存在很長時間了,不過人們對如何解決這個問題的關注也在增多。
Q:更多的組織機構意識到供應鏈攻擊的威脅,這是令人鼓舞的情況嗎?
A:我認為組織機構對供應鏈攻擊的關注令人鼓舞。更重要的是,作為供應鏈組成部分的廠商在非常嚴肅地對待這個問題。然而,我確實認為你可能會掉入某些陷阱中並採取伴隨大量調查問卷的法律路徑模式,而這並非管理供應鏈的正確方法。
Q:報告指出,30%的受訪人員認為所在組織機構領導層並沒有充分理解供應鏈風險,您對此怎麼看?為什麼會這樣?
A:我們在這裡討論的是軟件供應鏈。想象一下,當你獲得一款軟件產品時,你怎麼知道產品中還有什麼其它東西?它不僅是通過該企業的專有代碼構建,很可能使用了開源和源自其它企業的其它庫和代碼。因此,納入清單即物料清單很重要。這樣,當某款開源軟件中含有某個bug,你可以了解到其它含有該bug的產品有哪些。只需要快速提出這個問題並得到答案,你就可以查看並篩選出多家不同的供應商。
Q:組織機構如何可更好地了解供應鏈風險?
A:我非常贊同從社區學習這一方法,比如參加RSA大會等以及通過參加非營利性組織機構如 ISACA提供的相關主題安全培訓和知識網絡研討會進行學習。有一個明顯的點是如果組織機構中的IT審計員工擁有ISACA CISA等證書,則它的供應鏈風險減少。獲得認證確實展現了某種程度的敬業和學習。
Q:在組織機構應該如何提高供應鏈安全方面,這份報告的最大啟示在什麼地方?
A:其中一點是對增加對廠商提出的問題數量方面要謹慎。你打算如何處理分析所有這些問題?一些關鍵問題反而效果更好。這些問題應當集中在更好地了解供應商組織機構使用的流程尤其是和安全流程相關的方面。例如,他們是否有軟件成分分析?
另外,很多廠商正在對產品進行滲透測試,因此你應該要求獲取滲透測試報告。除此以外,很多廠商會運行靜態和動態應用安全測試。這種測試需要成為流程的一部分,詢問他們可以展示除了調查問卷內容以外的產品的安全性。這將鼓勵廠商不僅是口頭說說 DevSecOps 而已,而是實際展示確實在做。
Q:報告還有哪些地方是讓您感到驚訝的?
A:調查報告的其它部分和我的預期一致。勒索軟件確實是最令人擔憂的問題。因此我看到很多驗證表明我們比以往更加關注供應鏈,而且我們認為其中一個關鍵風險就是勒索軟件。我們仍然處於管理供應鏈的早期階段,廠商仍然處於提供必要信息使其更易於管理供應鏈的早期階段。
Q:報告的積極之處是什麼?
A:從很多方面來看,這份報告稍有一些悲觀,這是相當平實的反映。在整個世界範圍內,過去一年我們突然意識到自己遭到供應鏈攻擊。從積極方面來看,我們意識到了自己被突然攻擊,同時多數組織機構,不管是供應側還是消費側,都意識到了這個問題並嘗試找出解決之道。挑戰在於選擇做正確的事情,而不是把時間浪費在無用的地方。
在線閱讀版:《2021中國軟件供應鏈安全分析報告》全文
奇安信開源軟件供應鏈安全技術應用方案獲2022數博會「新技術」獎
更好的 DevSecOps,更安全的應用
他坦白:只是為了研究才劫持流行庫的,你信嗎?
熱門PyPI 包 「ctx」 和 PHP庫 「phpass」 長時間未更新遭劫持,用於竊取AWS密鑰
從美行政令看軟件供應鏈安全標準體系的構建
研究員發現針對 GitLab CI 管道的供應鏈攻擊
五眼聯盟:管理服務提供商遭受的供應鏈攻擊不斷增多
趁機買走熱門包唯一維護人員的郵件域名,我差點發動npm 軟件供應鏈攻擊
RubyGems 包管理器中存在嚴重的 Gems 接管漏洞
美國商務部機構建議這樣生成軟件供應鏈 「身份證」
《軟件供應商手冊:SBOM的生成和提供》解讀
和GitHub 打官司?熱門包 SheetJS出走npmjs.com轉向自有CDN
不滿當免費勞力,NPM 熱門庫 「colors」 和 「faker」 的作者設無限循環
NPM流行包再起波瀾:維護人員對俄羅斯用戶發特定消息,誰來保證開源可信?
NPM邏輯缺陷可用於分發惡意包,觸發供應鏈攻擊
攻擊者「完全自動化」發動NPM供應鏈攻擊
200多個惡意NPM程序包針對Azure 開發人員,發動供應鏈攻擊
哪些NPM倉庫更易遭供應鏈攻擊?研究員給出了預測指標
NPM 修復兩個嚴重漏洞但無法確認是否已遭在野利用,可觸發開源軟件供應鏈攻擊
熱門NPM庫 「coa」 和「rc」 接連遭劫持,影響全球的 React 管道
速修復!熱門npm 庫 netmask 被曝嚴重的軟件供應鏈漏洞,已存在9年
25個惡意JavaScript 庫通過NPM官方包倉庫分發
Pwn2Own大賽回顧:利用開源服務中的嚴重漏洞,攻陷西部數據My Cloud PR4100
開源網站內容管理系統Micorweber存在XSS漏洞
熱門開源後端軟件Parse Server中存在嚴重的 RCE ,CVSS評分10分
開源組件11年未更新,嚴重漏洞使數百萬安卓按設備易遭遠程監控
開源工具 PrivateBin 修復XSS 漏洞
奇安信開源組件安全治理解決方案——開源衛士
https://www.infosecurity-magazine.com/interviews/isaca-supply-chain-report/
題圖:Pixabay License
本文由奇安信編譯,不代表奇安信觀點。轉載請註明「轉自奇安信代碼衛士 https://codesafe.qianxin.com」。
奇安信代碼衛士 (codesafe)
國內首個專注於軟件開發安全的產品線。
覺得不錯,就點個「在看」 或 "贊」 吧~
留言列表