8大软件供应链攻击事件概述

在软件开发中所面临的新型威胁已经不仅仅与特定的公司相关，整个软件供应链的上下游都已成为攻击者的目标，因此必须保证每个环节的安全性，因为如果一个环节出现问题，一切都会受到影响。

供应链活动包括将原材料、部件和资源转化为完整产品并交付给最终客户的每一步。每个步骤本身都可能是一个复杂的过程，并且有可能导致安全事故。

什么是软件供应链攻击？

我们在之前的文章中已经清楚地了解到什么是软件供应链。那么我们现在继续深入，将重点放在源代码上。

举个例子，你的源代码将存储在私有的Git仓库中，这可能是你的基础设施的一部分，也可能是供应商提供的 SaaS，还有编译器工具、基础容器镜像仓库等。而一些依赖项则托管在公开的代码库中，如 Docker Hub 或 Quay.io，可能会受到损坏。此外，我们也将我们的应用程序作为容器镜像发布在公开的代码仓库中。

那么，在供应链中其中一些组件在你的保护之下，比如你的私有源代码 git 仓库、应用程序代码本身以及最终生产出来的二进制文件或容器镜像。但许多其他的组件或服务是公开的服务和资源，或是由其他公司提供的，完全不在你的掌控范围之内。

所以软件供应链攻击可以直接瞄准你的软件，或它可以瞄准任意上游组件（比如外部的依赖项或第三方服务），进而你会成为受害者，要么直接遭受攻击，要么成为提供受损资源的供应商。

软件供应链攻击事件

针对软件供应链的攻击正以每年4-5倍的速度增长，仅在2021年就发生了几千次，最常见的是与依赖项混淆或误值域名（URL劫持）有关的错误，其次是恶意源代码注入。

幸运的是，并不是每次攻击都有巨大的影响范围，下文我们将会介绍其中几个较为知名的攻击事件。CNCF还在其《供应链破坏目录》中收集了各种类型的供应链遭受攻击的事例：

https://github.com/cncf/tag-security/blob/main/supply-chain-security/compromises/README.md

CodeCov 源代码泄露

具体信息：https://about.codecov.io/security-update/

CodeCov是一款用于托管代码测试报告和数据的在线平台，2021年其 Docker 镜像中泄露的凭证使攻击者可以修改一个 bash 脚本。当客户下载并执行该脚本之后，客户的凭证会被泄露，进而攻击者可以访问他们的Git仓库。攻击从当年的1月31日开始，而第一个客户发现凭证遭受泄露时已是3个月之后，这意味着被入侵的软件在长达数月的时间里正常与上下游对接。Hashicorp、Confluent等多个知名企业表示受到影响。

SolarWinds 黑客攻击

攻击者渗透到 SolarWinds 的网络中，并设法将恶意软件注入其构建过程。该恶意软件（与 APT29、Nobelium 有关）与 Orion（某个网络管理系统）捆绑在一起，作为产品更新的一部分分发。该 Artifact 经过数