聚焦源代码安全,网罗国内外最新资讯!
作者:Help Net Security
编译:代码卫士
专栏·供应链安全
数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。
随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。近年来,针对软件供应链的安全攻击事件一直呈快速增长态势,造成的危害也越来越严重。
为此,我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯,分析供应链安全风险,提供缓解建议,为供应链安全保驾护航。
注:以往发布的部分供应链安全相关内容,请见文末“推荐阅读”部分。
Argon Security 公司的一项研究显示,相比2020年,2021年发生的软件供应链攻击事件增长了300%多。
研究显示,攻击者重点关注的是开源漏洞和投毒、代码完整性问题以及利用软件供应链流程和供应商信任分发恶意软件或后门。他们发现软件开发环境中的安全水平仍然低下,而且更重要的是,所评估的每个公司都存在漏洞和配置不当问题,从而导致这些公司易受供应链攻击影响。
研究人员花了6个月对客户进行了安全评估,从而判断企业安全状况,防御软件供应链攻击。
Argon 客户成功和销售高级总监 Eran Orzel 表示,“去年的攻击数量和单个攻击产生的广泛影响反映了应用安全团队正在面临的巨大挑战。遗憾的是,多数团队缺乏应对供应链攻击所需的资源、预算和知识。加上要解决这个攻击向量,应用安全团队需要和开发以及DevOps 团队合作,因此足以看出挑战之艰巨。”
三个风险面
1、使用易受攻击的软件包。几乎在所有商业软件中都可看到开源代码的影子。很多处于使用状态的开源包均存在漏洞,更新至更安全的版本需要开发和 DevOps 团队合作。所以,它成为执行供应链攻击最快速的方法之一。利用易受攻击软件包的常见攻击有两种:
利用已有漏洞。利用软件包中的已有漏洞获得对应用程序的访问权限并执行攻击(例如最近爆发的 Log4j 网络攻击事件)。
软件包投毒。在流行开源包、私有软件包中植入恶意代码,诱骗开发人员或自动化管道工具将它们集成到应用build 流程中(如 us-parser-js 软件包投毒事件)。
2、 受陷的管道工具:攻击者可利用提升后的访问权限、配置不当和CI/CD管道基础设施(如源代码管理系统、构建代理、包注册表和服务依赖)中的漏洞,访问关键IT基础设施、开发流程、源代码和应用程序。
受陷CI/CD 管道可暴露应用程序的源代码,而该源代码是应用程序、开发基础设施和流程的蓝图。这些受陷管道可导致攻击者在build 进程中更改代码或注入恶意代码并篡改应用程序(如SolarWinds事件)。
这种安全事件难以识别且可造成很多损害。攻击者还可利用受陷包注册表上传受陷工件而非合法工件。另外,和该管道关联的数十个外部依赖可用于访问管道并发动攻击(如Codecov 事件)。
3、代码/工件完整性:研究指出发现的主要风险之一就是将恶意代码上传到源代码仓库中,从而直接影响工件质量和安全状况。多数客户环境中出现的常见问题是代码中的敏感数据(机密)、代码质量和安全问题,基础设施即代码问题,容器镜像漏洞和配置不当。在很多情况下这些问题数量庞大且需要专门处理以减少暴露情况如机密清理、容器镜像标准化等。
Orzel 表示,“软件供应链流程是现代应用开发生命周期的核心组件。作为广泛的攻击向量,它严重威胁到下游企业的应用安全态势,有可能暴露敏感数据并在运行时的应用中制造更多入口点。在很多情况下,等安全团队发现时为时已晚,因为多数企业在CI/CD工具和流程方面并不具备防御能力。”
保护供应链安全
为解决这些问题,安全团队需要和 DevOps 团队协作并在开发流程中实现安全自动化。组织机构应当使用相关安全解决方案,确保软件开发流程免受软件供应链攻击。
奇安信网神开源卫士系统(简称:开源卫士)是一款集开源软件识别与安全管控于一体的软件成分分析系统,该系统通过智能化数据收集引擎在全球范围内获取开源软件信息及其相关漏洞信息,利用自主研发的开源软件分析引擎为企业提供开源软件资产识别、开源软件安全风险分析、开源软件漏洞告警及开源软件安全管理等功能,帮助用户掌握开源软件资产信息,及时获取开源软件漏洞情报,降低由开源软件带来的安全风险,保障企业交付更安全的软件。
开源卫士试用地址:https://oss.qianxin.com
或戳“原文链接”直达
推荐阅读
Apache PLC4X开发者向企业下最后通牒:如不提供资助将停止支持
Apache 软件基金会:顶级项目仍使用老旧软件,补丁作用被削弱
NIST 按行政令关于加强软件供应链安全的要求,给出“关键软件”的定义及所含11类软件
美国“加强软件供应链安全实践的指南” (SSDF V1.1草案) 解读来了
“木马源”攻击影响多数编程语言的编译器,将在软件供应链攻击中发挥巨大作用
GitHub 在 “tar” 和 npm CLI 中发现7个高危的代码执行漏洞
速修复!热门npm 库 netmask 被曝严重的软件供应链漏洞,已存在9年
Npm 恶意包试图窃取 Discord 敏感信息和浏览器文件
微软“照片”应用Raw 格式图像编码器漏洞 (CVE-2021-24091)的技术分析
SolarWinds 供应链事件后,美国考虑实施软件安全评级和标准机制
揭秘新的供应链攻击:一研究员靠它成功入侵微软、苹果等 35 家科技公司
开源OS FreeBSD 中 ftpd chroot 本地提权漏洞 (CVE-2020-7468) 的技术分析
集结30+漏洞 exploit,Gitpaste-12 蠕虫影响 Linux 和开源组件等
热门开源CI/CD解决方案 GoCD 中曝极严重漏洞,可被用于接管服务器并执行任意代码
GitKraken漏洞可用于盗取源代码,四大代码托管平台撤销SSH密钥
因服务器配置不当,热门直播平台 Twitch 的125GB 数据和源代码被泄露
原文链接
https://www.helpnetsecurity.com/2022/01/20/software-supply-chain-attacks-2021/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
728
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
