你可能或多或少在头条新闻中有看到过或理解过和软件供应链攻打相干的信息,比方 2020 年的 SolarWinds 事件,再比方 2021 年的 Kaseya 事件(点击查看关联文章)。如果到目前为止你对软件供应链攻打尚不理解,那么这里有一个简要解释:当恶意代码在开发过程中被引入应用程序或软件程序,而后用于拜访敏感数据甚至管制设施自身时,就会产生软件供应链攻打。明天的文章将带你理解软件供应链攻打愈演愈烈的起因以及开源软件供应链所面临的新挑战。
软件供应链攻打的影响
软件供应链攻打是指某人取得对组织的软件供应链的拜访权,通常是通过浸透其合作伙伴或供应商,获取用于公司或组织的软件或硬件组件。什么是软件供应链攻打?这是通过毁坏该网络中的单个设施来毁坏整个网络的过程。这意味着攻击者不用独自接管每个零碎——歹意攻击者能够通过简略地毁坏一个设施并将其用作在整个网络中流传恶意软件的一种形式。软件供应链波及多个利益相关者:供应商、他们的供应商和合作伙伴以及他们的客户。
然而在理论状况中,软件供应链攻打是十分无效的,因为这类攻打难以检测,甚至更难以阻止。而大多数企业并没有对其软件供应链进行无效的监控,有些甚至从未将关注放在软件供应链上,这也就意味着这些企业并不知道他们所单干的供应商是否受到歹意攻打和侵害,直到企业自身受到攻打影响,但已为时已晚。而攻击者曾经可能拜访企业的所有信息,从身份信息,银行账号等个人信息到商业秘密,攻击者能够利用这些专有数据去谋取微小利益。因为这类攻打很容易施行,因而攻打数量也随之激增。
尽管开发人员能够采取一些根本步骤来升高危险,但如果不投资更好的解决方案(如容器化或加密技术),这些解决方案很难齐全打消,因为这些解决方案往往在应用程序级别工作,而不是仅在操作系统级别中在一些较旧的设施上施行。
为什么软件供应链攻打愈演愈烈?
以下是总结出的软件供应链攻打呈上升趋势的起因:
- 因为软件供应链攻打施行难度不大,且歹意攻击者可能很容易找到软件中的破绽并利用其拜访企业网络甚至窃取数据。
- 软件供应链攻打可能无效施行,歹意攻击者可能通过发动攻打获取微小利益。软件供应链攻打的目标不仅仅是毁坏软件安全性,更是意在窃取数据或获取钱财。据统计,软件供应链攻打通常导致每年数百万美元损失。
- 软件供应链攻打通常通过几个月的工夫之后才会被除了歹意攻击者以外的人发现。
- 因为软件供应链非常复杂,开发人员经常在层层叠加、错综复在的依赖关系中感到困惑,这也成为恶意代码潜藏的温床。如果企业应用或购买了不牢靠起源的代码或软件,可能会面临微小的平安危险!
开源软件供应链的新问题
依据 VMWare 调查报告(报告获取形式见文末)结果显示,有76% 的人示意开源软件(OSS)满足其对老本效益的冀望,60% 的受访者示意 OSS 帮忙其所在的企业进步了灵活性,还有 52% 的受访者则示意 OSS 满足了公司对开发人员生产力的冀望。由此可见,开源软件未然成为各类规模公司软件供应链的要害元素。
尽管如此,值得注意的担心和危险使 往年违心在生产环境中部署开源软件的公司数量从 95% 缩小到 90%。OSS 前三个关注点中有两个波及安全性,特地是辨认和解决破绽的能力:
- 依赖社区修补谬误和修复破绽的比例从去年的 56% 回升到往年的 61%
- 平安危险减少(47% 到 53%)和社区补丁不足 SLA(42% 到 50%)
开源软件供应链也面临着新的平安问挑战,即更平安的打包办法(Packaging security)。OSS 打包过程对于确保开源软件供应链的安全性至关重要。然而,这也已成为企业开发过程的复杂性和担心的重要起源。该报告发现,在大多数公司中,过多的工具、手动工作和多个团队参加打包 OSS,妨碍了他们无效爱护软件供应链平安。因而,为了在改善此类危险,倡议企业简化打包流程以此来提高效率,并能够尝试将打包工作交给一个独自的团队团队治理,通过自动化工作和整合打包工具进行 OSS 打包,既能够保障安全性也能够进步打包效率。
总结
软件供应链平安是一个在过来几年中受到越来越多关注的畛域,这些关注不仅来自心愿进步开发软件平安的企业,同时也来自关注个人信息被泄露的消费者。不过更多的关注并不是好事,这也能督促企业进行软件开发、散发等过程中更多低将平安纳入重点思考。而企业在开源平安教育、意识养成和最佳实际施行方面仍有很长的路。