关于devops:软件供应链安全基本点和四个关键最佳实践

6次阅读

共计 3599 个字符，预计需要花费 9 分钟才能阅读完成。

企业软件我的项目越来越趋于依附第三方和开源组件，该类组件由集体创立和保护，因为其与开发重要软件的组织无雇佣关系，所以第三方不肯定应用与软件开发组织雷同的安全策略。这点存在着肯定的平安危险，因为集体创立的安全策略与组织创立的安全策略二者之间存在着差别或不一致性，这可能会导致呈现易被忽视的软弱区域，从而给攻击者以可乘之机。

第三方软件组件次要来源于两个方向，一是间接来自于供应商，一是来自于集中的注册表和存储库，上述供应商和存储库形成了古代软件供应链。攻击者能够通过多种形式危害软件供应链平安，包含：

利用第三方组件中存在的谬误或破绽
毁坏第三方开发环境并注入恶意代码
创立歹意的虚伪组件

供应链平安旨在预防、检测和缓解该类危险以及来自于组织以外第三方组件的任何其余危险。

依据美国国家标准与技术研究院 (NIST) 的定义，软件供应链攻打产生在“当网络威逼行为者渗透到软件供应商网络，并在供应商将软件交付至客户之前通过恶意代码毁坏该软件时。而后，被攻打的软件会毁坏供应商的客户数据或零碎。新交付的软件可能从一开始就受到侵害，或者可能通过补丁或修补程序等其余形式导致受损。在这些状况下，危害产生在补丁或修补程序进入客户网络之前。这些类型的攻打会影响受损软件的所有用户，并可能对要害基础设施和私营部门软件客户产生宽泛影响。”

通常，攻击者通过发现供应链中的薄弱环节，利用该薄弱环节向供应链上游挪动。他们利用信赖关系来毁坏应用被攻击者组件、产品或服务的企业。这能够让攻击者通过一次攻打就能毁坏大量运行良好的企业零碎。

软件供应链攻打实施者将关注点从企业的外部进攻零碎转移至其供应商的进攻零碎。如果进攻良好的企业与平安防护单薄的供应商单干，攻击者就会瞄准该供应商并开展攻打。一旦攻击者毁坏了供应商网络或开发程序，他们就能够利用这个切入点浸透至客户的零碎。

是指一种专门针对托管服务提供商 (MSP) 的特定类型的供应链攻打。企业通常会应用 MSP 外包技术，并将该技术利用于网络和系统管理中。攻击者通过毁坏 MSP 可立刻拜访企业所有客户的公司网络。这种类型的攻打发生率近年来出现愈演愈烈之势，并被用于策动勒索软件攻打、销售点入侵和企业电子邮件泄露欺骗。据 2021 年的一份报告结果显示，对单个 MSP 或托管平安服务提供商 (MSSP) 的网络攻击就可能会给数以百计的企业造成高达 800 亿美元的经济损失。

尽管 MSP 攻打利用特权拜访，但其余供应链攻打会毁坏供应商的零碎并植入恶意软件，而后攻打供应商的客户进行。这是灾难性的 SolarWinds 攻打中应用的办法。攻击者在看似有害的软件更新中植入恶意软件，由 SolarWinds 签名并分发给其客户软件。很多寰球重要企业均受到了这种攻打，包含思科、SAP、英特尔、德勤、英伟达、富士通和乐天。

通常状况下，供应链攻打只是攻击者打算的第一步。在最后的供应链攻打之后，攻击者通常会尝试横向挪动和特权降级，以求加深其对网络的管制并取得对更敏感零碎的拜访权限。在这之后或与此同时，攻击者可能会窃取敏感数据、毁坏操作系统或讹诈企业，与勒索软件攻打应用的伎俩一模一样。

供应链攻打针对一个或多个供应商开展攻打，可能须要几个月胜利。在很多状况下，这些攻打会长工夫未被发现。与高级持续性威逼 (APT) 攻打一样，供应链攻打通常具备针对性和高度复杂性。

即便领有杰出的传统网络安全进攻零碎，企业供应链也可能很容易受到攻打。尽管某些解决方案（例如软件组合分析（SCA）软件）会评估第三方软件的危险，但很多解决方案却基本不具备此项性能。相同，大多数传统网络安全防护办法均已默认了产品或服务的安全性。企业可能领有最先进的防火墙和端点平安技术，但这些技术自身或企业基础设施的任何其余局部均可能受到供应链攻打并受其影响。

欧盟网络安全局（ENISA）的一份报告显示，在约 66% 的供应链攻打报告中，攻击者会应用供应商代码来攻打供应商的客户并对其造成危害。这表明企业应该重点关注并确保第三方软件和代码在应用之前不会被篡改。

另一个重要发现是，在对供应链攻打进行剖析后的结果显示，有超过一半的供应商要么不晓得本人被攻打，要么没有上报攻打状况。但 89% 的裸露于供应链攻打危险之下的客户企业最终均已意识到了该点，这表明供应商与其企业客户之间的安全事件报告存在成熟度差距。

以下最佳实际能够帮忙您的企业为下一次供应链攻打做好筹备。

1. 疾速修复破绽
尽管一些供应链攻打办法利用了未知（零日）破绽，但还是有很多攻打利用了已知破绽。基于此点，企业应创立软件资料清单(SBOM)，辨认存在已知破绽的组件，并利用相干更新或补丁。疾速辨认和修复第三方组件中的破绽是预防供应链攻打的次要策略。

2. 放弃深度供应链可见性
企业须要理解其软件组合中应用的组件，并且充分认识和理解组件、零碎和源代码之间的关系。当发现破绽时，开发人员须要晓得易受攻击的组件在多个软件我的项目中的应用地位，以便可能进行疾速修复或删除。目前已有多种工具能够自动检测和帮忙治理破绽。

3. 标记问题组件
开发人员须要一直寻找可能蕴含破绽的新软件组件。因而，倡议企业将供应链安全性左移，以确保开发人员领有专业知识、工具并能提供反对，以防止在软件开发生命周期的晚期抉择易受攻击或不平安的组件。

一旦发现问题组件，就应该对之进行标记，从而确保所有开发团队都分明该问题组件。标记的组件或破绽扫描失败的组件可能会“毁坏构建”，继续集成（CI）/ 继续交付 (CD) 管道应主动阻止将其部署到生产环境中。

4. 继续监控组件
即便一个组件曾经被确定为平安组件，也不意味着它会放弃平安。新的破绽会一直呈现，组件使用寿命也可能已快要耗尽，或者其开源贡献者可能会放弃组件并对其进行反对。在所有这些状况下，您必须可能检测到组件危险状态的变动，确定危险重大水平的优先级，并在必要时敞开组件。

WhiteSource 生产了爱护您软件供应链的两种最佳产品 WhiteSource SCA 和 WhiteSource Diffend。

据 Forrester Research 分析师称，WhiteSource SCA 是一种先进的 SCA 产品，自 2019 年问世以来始终是市场领导品牌之一。WhiteSource SCA 被世界各地的企业宽泛应用，世界十大软件企业中有六家企业就应用该产品，这其中也包含微软。

WhiteSource SCA 能够告诉您应用程序中蕴含的第三方软件组件，以及这些组件中是否存在易受攻击的破绽。相较于其余产品，WhiteSource SCA 的特别之处在于：

准确性。WhiteSource 的专利算法可能将真正的问题与乐音辨别开来，使您的效率进步 70% 至 85%。
便于应用。WhiteSource 能为开发者提供其失常开发环境中开源破绽的实时信息，因而开发者无需在应用程序之间切换或期待后果。
主动修复。WhiteSource 不仅能够辨认易受攻击的开源组件，还能够主动生成带有修复倡议的拉取申请。

此外，WhiteSource SCA 容许您为每个软件我的项目轻松创立一个 SBOM。每个 SBOM 标识凋谢源代码库均包含间接的和可传递的依赖项，并提供一个修复门路，以确保更新不会毁坏构建。

WhiteSource Diffend 是一种专门的供应链平安解决方案，它与程序包管理器（目前为 JavaScript 和 Ruby）集成，阻止歹意包通过装置来攻打您的代码库。Diffend 可爱护您免受误植域名、歹意接管、ATO 攻打、makefile 净化、比特币开掘、意外注入、僵尸网络代码注入、环境和凭据窃取、病毒、程序包篡改、程序包 CVE、JavaScript CVE、Ruby CVE、品牌劫持和依赖混同.

自 2020 年初公开公布以来，WhiteSource Diffend 已在 Rubygems 注册表中检测到 350 多个已知恶意程序包，并且自 2021 年底以来已在 NPM 上检测到 1,400 多个恶意程序包。如欲了解更多 WhiteSource 相干音讯，或亲自体验 WhiteSource，请分割 WhiteSource 受权合作伙伴——龙智收费试用。

作者简介：

亚当·默里（Adam Murray）

亚当·默里是 WhiteSource 的内容作家。在搬到特拉维夫之前，已在伦敦和纽约开始了他的企业流传和公关职业生涯。在过来十年中，亚当·默里始终与 Amdocs、Gilat Satellite Systems、Allot Communications 和 Sisense 等科技公司精诚合作。亚当·默里领有英国文学博士学位。亚当·默里酷爱家庭生存，工作之余喜爱陪伴妻儿并对足球队托特纳姆热刺队（Tottenham Hotspur）情有独钟。

正文完