close

聚焦源代碼安全,網羅國內外最新資訊!

作者:Jessica Lyons Hardcastle

編譯:代碼衛士

專欄·供應鏈安全

數字化時代,軟件無處不在。軟件如同社會中的「虛擬人」,已經成為支撐社會正常運轉的最基本元素之一,軟件的安全性問題也正在成為當今社會的根本性、基礎性問題。

隨着軟件產業的快速發展,軟件供應鏈也越發複雜多元,複雜的軟件供應鏈會引入一系列的安全問題,導致信息系統的整體安全防護難度越來越大。近年來,針對軟件供應鏈的安全攻擊事件一直呈快速增長態勢,造成的危害也越來越嚴重。

為此,我們推出「供應鏈安全」欄目。本欄目匯聚供應鏈安全資訊,分析供應鏈安全風險,提供緩解建議,為供應鏈安全保駕護航。

註:以往發布的部分供應鏈安全相關內容,請見文末「推薦閱讀」部分。



微軟安全響應中心負責任 Aanchal Gupta 指出,近年來發生的大型供應鏈攻擊事件如 SolarWinds、Kaseya 和 Log4j 等「只是冰上一角」。

她在接受RSA會議現場採訪時指出,「所有這些都是大事件。但我認為攻擊將會繼續且更多,而我這樣想是有原因的。」

Gupta 作為MSRC的負責人,具有獨特的優勢,觀點涵蓋微軟所有的產品和服務,並且對行業合作夥伴的軟件和工具以及客戶環境(包括政府機構在內)具有可見性。她指出,「供應鏈攻擊將繼續的原因是我們對第三方軟件和開源軟件的依賴性只增不減。這種趨勢不會在短時間內降溫。」

這種依賴對於網絡犯罪分子是有利的,因為他們能夠找到一家企業環境中的未修復漏洞並藉此感染組織機構的客戶和合作夥伴。Gupta 表示,「就像我們在 Nobelium 組織身上看到的那樣」,她指的組織是入侵SolarWinds 公司的俄羅斯黑客組織機構,「它還為網絡犯罪分子帶來規模經濟。」

她還補充道,「Log4j 帶來的其中一點啟示是,它的使用範圍多麼普遍。」由於熱門Apache Log4j 日誌庫廣泛應用於企業應用和雲服務中,該遠程代碼執行缺陷使Log4j 成為備受網絡犯罪分子青睞的目標。

她指出,「我將其比作食品儲藏櫃中食品中的鹽。如果我讓你扔掉所有含鹽的東西,你就會說:你是讓我清空食品儲藏櫃嗎?因為到處都是鹽。」

Gupta 此前曾是微軟和Facebook 公司的開發人員,她指出當看到Log4j exploit 的新聞爆發後,她的反應是,「它是我曾在2000年寫代碼時使用的同一個程序包嗎?真的是!天哪,人們還在用它?而且使用量已增長。」

軟件產品的成分清單

這就是她認為企業為何需要「成分清單」(即軟件物料清單SBOM)的原因——尤其是需要擁有對產品中所使用的開源和第三方代碼的清單。

Gupta表示,「當我們交付或使用某些東西時,下游依賴是什麼?我們意識到這一點很重要。」微軟維護着軟件依賴索引,幫助MSRC快速響應 Log4j 漏洞。她指出,「組織機構必須優先處理這項工作。」

她將軟件比作食品,指出企業應當了解成分的來源,這意味着需要詢問廠商的安全策略並進行審計,另外還要對開源軟件開展代碼審計。

Gupta 表示,「第三件事我認為是信任但信任需要驗證。即使你信任提供依賴的廠商,但你仍然應當進行驗證。」


代碼衛士試用地址:https://codesafe.qianxin.com
開源衛士試用地址:https://oss.qianxin.com





推薦閱讀

在線閱讀版:《2021中國軟件供應鏈安全分析報告》全文

奇安信開源軟件供應鏈安全技術應用方案獲2022數博會「新技術」獎

更好的 DevSecOps,更安全的應用

他坦白:只是為了研究才劫持流行庫的,你信嗎?

熱門PyPI 包 「ctx」 和 PHP庫 「phpass」 長時間未更新遭劫持,用於竊取AWS密鑰

從美行政令看軟件供應鏈安全標準體系的構建

研究員發現針對 GitLab CI 管道的供應鏈攻擊

五眼聯盟:管理服務提供商遭受的供應鏈攻擊不斷增多

趁機買走熱門包唯一維護人員的郵件域名,我差點發動npm 軟件供應鏈攻擊

RubyGems 包管理器中存在嚴重的 Gems 接管漏洞

美國商務部機構建議這樣生成軟件供應鏈 「身份證」

《軟件供應商手冊:SBOM的生成和提供》解讀

和GitHub 打官司?熱門包 SheetJS出走npmjs.com轉向自有CDN

不滿當免費勞力,NPM 熱門庫 「colors」 和 「faker」 的作者設無限循環

NPM流行包再起波瀾:維護人員對俄羅斯用戶發特定消息,誰來保證開源可信?

NPM邏輯缺陷可用於分發惡意包,觸發供應鏈攻擊

攻擊者「完全自動化」發動NPM供應鏈攻擊

200多個惡意NPM程序包針對Azure 開發人員,發動供應鏈攻擊

哪些NPM倉庫更易遭供應鏈攻擊?研究員給出了預測指標

NPM 修復兩個嚴重漏洞但無法確認是否已遭在野利用,可觸發開源軟件供應鏈攻擊

熱門NPM庫 「coa」 和「rc」 接連遭劫持,影響全球的 React 管道

速修復!熱門npm 庫 netmask 被曝嚴重的軟件供應鏈漏洞,已存在9年

25個惡意JavaScript 庫通過NPM官方包倉庫分發

Pwn2Own大賽回顧:利用開源服務中的嚴重漏洞,攻陷西部數據My Cloud PR4100

開源網站內容管理系統Micorweber存在XSS漏洞

熱門開源後端軟件Parse Server中存在嚴重的 RCE ,CVSS評分10分

開源組件11年未更新,嚴重漏洞使數百萬安卓按設備易遭遠程監控

開源工具 PrivateBin 修復XSS 漏洞

奇安信開源組件安全治理解決方案——開源衛士

原文鏈接

https://www.theregister.com/2022/06/09/microsoft_supply_chain_attacks/

題圖:Pixabay License

本文由奇安信編譯,不代表奇安信觀點。轉載請註明「轉自奇安信代碼衛士 https://codesafe.qianxin.com」。

奇安信代碼衛士 (codesafe)

國內首個專注於軟件開發安全的產品線。

覺得不錯,就點個「在看」 或 "贊」 吧~

arrow
arrow
    全站熱搜
    創作者介紹
    創作者 鑽石舞台 的頭像
    鑽石舞台

    鑽石舞台

    鑽石舞台 發表在 痞客邦 留言(0) 人氣()