聚焦源代碼安全,網羅國內外最新資訊!
作者:Kayla Underkoffler
編譯:代碼衛士
數字化時代,軟件無處不在。軟件如同社會中的「虛擬人」,已經成為支撐社會正常運轉的最基本元素之一,軟件的安全性問題也正在成為當今社會的根本性、基礎性問題。
隨着軟件產業的快速發展,軟件供應鏈也越發複雜多元,複雜的軟件供應鏈會引入一系列的安全問題,導致信息系統的整體安全防護難度越來越大。近年來,針對軟件供應鏈的安全攻擊事件一直呈快速增長態勢,造成的危害也越來越嚴重。
為此,我們推出「供應鏈安全」欄目。本欄目匯聚供應鏈安全資訊,分析供應鏈安全風險,提供緩解建議,為供應鏈安全保駕護航。
註:以往發布的部分供應鏈安全相關內容,請見文末「推薦閱讀」部分。
HackerOne 平台的高級安全技術專家認為,保護軟件供應鏈安全並非易事且必須和攻擊者賽跑。如下是文章編譯。
這個數字化世界變得越來越複雜,也越來越互聯,這一點在軟件供應鏈領域尤為明顯。我們能夠在其它軟件組件基礎上進行構建意味着創新更快、產品更好、可以為所有人服務。但對第三方軟件和開源的依賴增加了我們必須防禦的數字化基礎設施的複雜性。
近期,HackerOne 平台向網絡安全專業人員開展的調查顯示,三分之一的受訪人員監控不到75%的攻擊面,近20%的受訪人員認為超過一般的攻擊面是未知的或不可觀測到的。Log4Shell、Kaseya 和 SolarWinds 事件說明上述數據所帶來的廣泛影響。
網絡犯罪分子已經清楚供應鏈極易遭利用。
去年,威脅組織利用虛擬系統管理員 (VSA) 提供商 Kaseya 中的漏洞,將 REvil 勒索軟件注入VSA代碼中。Kaseya 為數千家管理服務提供商 (MSPs) 和企業提供支持,事件攻陷了數千家組織機構中的一個關鍵網絡。最後,這些組織機構的內部系統也遭攻陷。
Kaseya 公司對客戶造成的影響可發生在使用第三方軟件廠商的任何組織機構身上。歐盟網絡安全局 (ENISA) 分析了近期發生的24起軟件供應鏈攻擊活動後發現強大的安全防護措施已不足以應對攻擊。報告發現2020年供應鏈攻擊的數量和複雜度都有所增長且這一趨勢在2021年仍持續,而且從新近Lapsus$ 組織發動的攻擊來看, 這一趨勢在2022年仍將繼續。
和第三方軟件廠商一樣但從更大範圍來看,不安全的開源代碼將對數字化功能造成災難性影響,從Log4Shell 漏洞造成的影響可見一斑。造成這些後果的原因部分是,對於幾乎所有現代數字化基礎設施和所有軟件供應鏈而言,開源軟件仍然起着根本作用。平均一款應用程序使用了500多個開源組件。而自願維護項目的維護人員的資源、培訓和時間是有限的,這意味着他們在修復漏洞方面力不從心。這些因素很可能導致高危的開源漏洞多年來仍存在於代碼中。
因此,我們需要立即採取行動。為此,美國國家標準和技術研究院 (NIST) 在今年2月份發布了安全指南。但我們為何在嘗試並有效保護軟件供應鏈方面仍然如此緩慢?因為我們不知道從何入手,跟進自身軟件和新產品的安全更新困難重重。更糟糕的是,很多構成數字化基礎設施的開源組件缺乏合適資源,使項目維護人員確保這些組件是完全安全的。
我們該如何保護軟件供應鏈安全?雖然聽起來很艱巨但可以從下面幾個方面入手。
首先,清理並識別攻擊阻力差距——即組織機構能夠防禦與需要防禦之間的空間。了解自己的供應鏈並執行幫助團隊成功的戰略:
要求軟件物料清單 (SBOM) 並維護所在組織機構軟件許可證的準確清單,了解那些廠商、程序和網絡可能會將自己置於風險之中。開源軟件組件尤其難以記錄;Linux基金會和國際標準組織 (ISO) 提供相關資源,幫助組織機構追蹤並識別開源的SBOM。
清楚了解軟件(當前軟件或未來將購買的軟件)如何支持或與關鍵進程進行關聯。這種關係知識有助於安全團隊創建安全優先的業務案例,並根據易受攻擊廠商或組件的不同,更好地了解何種業務元素將被置於風險之中。
將軟件安全的所有權轉移到開發的最早階段。左移使開發人員了解安全標準,因此安全和開發團隊能夠協作構建安全產品,降低修復已部署的不安全產品的量。然後,執行策略和標準,維護組織機構的安全和互聯網的整體安全。
基於事件應對的準備情況,評估每個軟件廠商,建立問責制。將廠商納入自己的供應鏈是信任的一種表達方式,只有當你認為合作夥伴是可信任時,才應當擴展這種信任。所在組織機構和供應鏈的透明度是達成出色的事件響應的關鍵。你還可以通過成功的預先存在的事件響應和披露計劃的語言來了解指南。
採用清楚的完整性框架和詳細的廠商入職流程。該框架應當包括關於每個提供商的軟件許可如何支持你所在的組織機構以及內部使用的安全工具的文檔。
制定策略,提升開源組件的安全並通過支持項目維護的組織機構提升安全性。向開源項目做貢獻降低了對所在組織機構以及所有使用開源代碼的人員的風險。
網絡安全社區中的大多數人都熟悉墨菲定律:「如果事情有變壞的可能,不管這種可能性有多小,它總會發生。」它定義了在這個領域工作的任何人的心態。網絡安全行業教給我的最大經驗就是必須全力以赴,迎接不可避免的越來越多的挑戰、風險和複雜性,保護數字化資產的安全。其中一種方法是在安全最佳時間方面保持高度積極主動,如果你尚未正確保護軟件供應鏈安全,那麼你已經落後了。不過即使你的出發點是錯誤的,但好在重新出發永遠不晚。
在線閱讀版:《2021中國軟件供應鏈安全分析報告》全文
PyPI 倉庫中的惡意Python包將被盜AWS密鑰發送至不安全的站點
開源項目 Parse Server 出現嚴重漏洞,影響蘋果 Game Center
奇安信開源軟件供應鏈安全技術應用方案獲2022數博會「新技術」獎
更好的 DevSecOps,更安全的應用
他坦白:只是為了研究才劫持流行庫的,你信嗎?
熱門PyPI 包 「ctx」 和 PHP庫 「phpass」 長時間未更新遭劫持,用於竊取AWS密鑰
從美行政令看軟件供應鏈安全標準體系的構建
研究員發現針對 GitLab CI 管道的供應鏈攻擊
五眼聯盟:管理服務提供商遭受的供應鏈攻擊不斷增多
趁機買走熱門包唯一維護人員的郵件域名,我差點發動npm 軟件供應鏈攻擊
RubyGems 包管理器中存在嚴重的 Gems 接管漏洞
美國商務部機構建議這樣生成軟件供應鏈 「身份證」
《軟件供應商手冊:SBOM的生成和提供》解讀
和GitHub 打官司?熱門包 SheetJS出走npmjs.com轉向自有CDN
不滿當免費勞力,NPM 熱門庫 「colors」 和 「faker」 的作者設無限循環
NPM流行包再起波瀾:維護人員對俄羅斯用戶發特定消息,誰來保證開源可信?
NPM邏輯缺陷可用於分發惡意包,觸發供應鏈攻擊
攻擊者「完全自動化」發動NPM供應鏈攻擊
200多個惡意NPM程序包針對Azure 開發人員,發動供應鏈攻擊
哪些NPM倉庫更易遭供應鏈攻擊?研究員給出了預測指標
NPM 修復兩個嚴重漏洞但無法確認是否已遭在野利用,可觸發開源軟件供應鏈攻擊
熱門NPM庫 「coa」 和「rc」 接連遭劫持,影響全球的 React 管道
速修復!熱門npm 庫 netmask 被曝嚴重的軟件供應鏈漏洞,已存在9年
25個惡意JavaScript 庫通過NPM官方包倉庫分發
Pwn2Own大賽回顧:利用開源服務中的嚴重漏洞,攻陷西部數據My Cloud PR4100
開源網站內容管理系統Micorweber存在XSS漏洞
熱門開源後端軟件Parse Server中存在嚴重的 RCE ,CVSS評分10分
開源組件11年未更新,嚴重漏洞使數百萬安卓按設備易遭遠程監控
開源工具 PrivateBin 修復XSS 漏洞
奇安信開源組件安全治理解決方案——開源衛士
https://www.darkreading.com/vulnerabilities-threats/it-s-a-race-to-secure-the-software-supply-chain-have-you-already-stumbled-
題圖:Pixabay License
本文由奇安信編譯,不代表奇安信觀點。轉載請註明「轉自奇安信代碼衛士 https://codesafe.qianxin.com」。
奇安信代碼衛士 (codesafe)
國內首個專注於軟件開發安全的產品線。
覺得不錯,就點個「在看」 或 "贊」 吧~
留言列表