开源开发工具获胜：这是供应链风险

事情已经板上钉钉了。在市场份额、思想份额和创新方面，开源开发者工具赢得了世界各地工程师的青睐和工具带。从 IDE 到构建工具再到包管理器，开源已经成为现代软件开发环境的支柱。 

虽然这是开源的明显胜利，但我们也必须承认房间里的大象——潜在的巨大供应链风险。开发人员工具是最终的供应链攻击媒介。任何成功的攻击不仅会暴露保存敏感数据的生产力工具，还会暴露用于编写和构建软件的工具。这意味着攻击者不仅可以破坏组织的技术环境，还可以破坏其开发人员编写和提交的代码。几乎每个组织中的开发人员工具都被授予特权地位。 

这并不是说开源工具本质上不如专有工具安全。相反。但这种市场主导地位的可能影响是来自非常聪明但坏人的更多恶意关注——包括地球上最复杂的高级持续威胁组织 (APT) 和由民族国家资助的黑客组织。为了应对这一现实，开源开发工具的维护者需要加倍努力以确保他们维护软件供应的安全。 

开源的兴起

开源开发工具获胜的证据是广泛存在的。最近的研究调查了 400 多名应用程序开发人员、安全工程师和 DevOps 从业者，超过 60% 的受访者表示，他们的组织拥有一个包含 50% 或更多开源工具的开发人员工具堆栈。在广阔的开发者工具领域，开源无处不在。GitHub 和 GitLab 这两个占主导地位的源代码存储库和版本控制平台都建立在核心 Git 项目之上。VS Code 基于开源核心构建，是迄今为止占主导地位的集成开发环境 (IDE)。 

StackOverflow 2023 年对超过 80,000 名开发人员进行的开发人员调查发现，超过 70% 的开发人员使用 VS Code。许多其他常用的 IDE 都是开源的。在构建工具中，很大一部分是开源项目。当然，Docker 和 Kubernetes（分别是占主导地位的应用程序容器和占主导地位的容器编排平台）都是开源的。

供应链风险

不幸的是，无处不在的人都喜欢令人厌恶的公司。虽然开源工具提供了许多好处，包括提高识别错误和监控代码活动的透明度，但它们也会放大软件供应链风险。例如，VS Code 是基于 Electron 框架和 Chromium 浏览器核心构建的。它使用 TypeScript，这是 JavaScript 的强类型版本，可以提高安全性。也就是说，VS Code 具有数百个直接和传递依赖项，这可能会使其容易受到攻击。 

其他开源开发工具也有不同的弱点。Git 是用 C++ 编写的，这是一种众所周知的安全挑战语言，而且默认情况下绝对不安全。Git 维护者的核心团队是才华横溢的工程师，其中包括一些安全奇才。也就是说，试图破坏 Git 的攻击者可以根据 C++ 的工作原理轻松推测出潜在的弱点。由于大多数流行的开源开发工具都得到了重要组织和公司的支持，因此攻击它们的门槛很高。但当这种情况发生时，破坏和混乱的可能性是巨大的。 

降低风险：了解正在运行的内容，零信任 

降低开源工具的风险更多的是基础设施安全而不是代码安全。第一步是了解组织内部正在运行什么。集中于单个 IDE 和一小组通用工具可以简化这一挑战。其他方法包括使用通用桌面包管理器或云 IDE，使 DevEx 团队能够准确验证每个开发人员和团队运行的工具版本。 

另一个重要步骤是确保您正在监控开发人员、构建和 CI/CD 工具发出的活动。在传统安全方法中，这些目标往往是“较软”的目标，因为它们位于边界之内。当然，当它们位于云中时，组织可能会更积极地使用机密和 MFA 来保护它们。无论哪种情况，通过对所有面向开发人员的工具应用最小权限管理和持续授权来采取零信任态势，可以划分风险并减少任何事件的影响范围。  

风险缓解的第三个支柱是开发工具的自动修补和更新管理。开发人员经常抵制这些做法，因为在短期内，他们可能会通过大量的警报来破坏工作流程，这些警报兜售不相关的漏洞并请求升级依赖项，这实际上可能会破坏应用程序。通过简单和适当的调整，并使用正确的扫描和依赖管理系统，DevOps 和平台团队可以调整这些变量以缓和噪音并最大化信号。

市场份额越大，责任越大

开源开发工具的主导地位证明了它们在软件开发领域的价值。然而，随着这种主导地位而来的是管理相关供应链风险的责任。通过承认这些风险并采取积极措施来缓解这些风险，我们可以继续利用开源的力量，同时确保软件供应链的安全。这代表了另一个可能受到不良行为者关注的独特攻击面。它还提供了一个锁定组织中最关键工具的机会——这些工具可以构建运行世界的代码。 

关注公众号：网络研究观