Software supply chain security | Network security

已于 2023-02-27 15:29:39 修改
阅读量1k 收藏
点赞数
分类专栏: Network security 文章标签: 安全 网络 web安全
于 2023-02-22 15:33:44 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44340129/article/details/129163769
版权
文章介绍了软件供应链攻击的概念,强调了第三方依赖项中的漏洞风险。攻击类型包括预留后门、开发工具污染等。提出了软件供应链安全治理方法,如SDL、DevSecOps,并提到了云安全责任模型。Grafeas等工具用于管理和审计软件组件信息。
摘要由CSDN通过智能技术生成

本文授权自 MagicBoy

Software supply chain security | Network security

1. 概念

供应链攻击是一种危害和破坏性极强的网络攻击,是针对组织供应链(上游、中游、下游)中的薄弱环节实施的网络安全攻击,涉及范围广,且难以检测。

如今,软件的依赖关系非常普遍。 经常见到项目使用数百个开源依赖项来实现某种功能,而项目作者不必亲自编写该功能。这可能意味着大多数应用程序都包含并非项目作者创作的代码。第三方或开源依赖项中可能存在的漏洞多半是依赖项,因为项目作者不能像自己编写的代码那样严格控制这些依赖项,可能会在软件供应链中产生潜在的安全风险。

举个软件供应链攻击的例子:当恶意代码被故意加入依赖项中,使用该依赖项的供应链将代码分发给受害者时,就会发生这种攻击。 供应链攻击是真实存在的。攻击供应链的方法有很多:从直接以新贡献者的身份插入恶意代码到在别人不注意的情况下接管贡献者的帐户,甚至破解签名密钥来分发不属于正式依赖项的软件。软件供应链攻击本身很少是最终目标,但提供了一个让攻击者插入恶意软件或为将来的访问提供后门的机会。

2. 软件供应链阶段

软件供应链包括三个阶段:软件研发阶段、软件交付阶段、软件使用阶段,不同阶段的攻击面如下:

阶段攻击面
软件研发阶段- IDE开发工具污染攻击
- 三方库漏洞和后门攻击
- 直接源码污染攻击
软件交付阶段- 软件存储替换和篡改攻击
- 传输劫持和捆绑下载攻击
软件使用阶段- 升级劫持污染攻击
- 运行环境后门和漏洞攻击
- 三方库0Day漏洞攻击

3. 漏洞来源类型

  • 合法供应商引入的漏洞
  • 篡改或伪造组件的漏洞
  • 编码过程引入的漏洞
  • 开源组件引入的漏洞

4. 软件供应链的攻击类型

攻击类型事件
预留后门2013 年 6 月 棱镜门事件
开发工具污染2015 年 9 月 14 日 XcodeGhost 事件
升级劫持2017 年 6 月 27 日 NotPetya 勒索病毒事件
捆绑下载2017 年 8 月 17 日 WireX BotNet 事件
源代码污染2020 年 12 月 13 日 SolarWinds Orion 攻击事件

5. 软件供应链安全治理方法

阶段方法
体系构建阶段- SDL 软件安全开发生命周期
- DevSecOps ( 核心理念:安全是整个 IT 团队每个人的责任,需要贯穿从开发到运营整个业务生命周期每一个环节才能提供有效保障)
设计阶段- 软件供应商风险管理流程
- 软件供应商评估模型
- 软件供应商风险管理的作用
编码阶段- 构建详细的软件物料清单
- 使用基于 SCA 技术(软件成分分析)的工具
发布运营阶段- 建立成熟的应急响应机制
- 构建完善的运营保障工具链

6. 软件供应链安全应用实践

应用含义
可信研发运营安全能力成熟度模型汲取 SDL 与 DevSecOps 体系的优点,优化具体安全实践要素,是一种贯穿研发运营全生命周期的安全理念
云安全共享责任模型云安全共享责任模型指出,在基础设施即服务(IaaS)、平台即服务(PaaS)和软件即服务(SaaS)三种不同的云服务模式下,云服务提供商(Cloud Service Provider,CSP)和客户之间需要分担的安全责任不同。CSP 需要承担客户在使用云服务时保障物理安全的责任,客户需要负责确保其解决方案及其数据被安全地识别、标记和正确的分类,以满足任何合规义务的责任,其余的责任则由 CSP 和客户共同承担。
Grafeas 开源计划Grafeas 定义了一个 API 规范,用于管理软件资源,例如容器镜像、虚拟机镜像、JAR 文件和脚本。组织可以使用 Grafeas 来定义和聚合有关项目组件的信息。Grafeas 为组织提供了一个中央事实来源,用于在不断增长的软件开发团队和管道中跟踪和执行策略。构建工具、审计工具和合规性工具都可以使用 Grafeas API 来存储和检索有关各种软件组件的综合数据

法律声明

文章部分引用自悬镜安全与中国信息通信研究院联合制作的报告,转载或引用文章内容,不得进行如下活动:

不得擅自同意他人转载、引用本报告内容。

不得引用本报告进行商业活动或商业炒作。

本报告中的信息及观点仅供参考,悬镜安全及中国信息通信研究院对本报告拥有最终解释权

ENDฅฅ

如有侵权,请联系作者删除

小饅頭
关注
专栏目录
【CISSP】Chapter 1 Security Governance Through Principles and Policies
略懂一点劳动法民法和刑法,各位老板请注意措辞
04-28 1373
A. 1 – I;2 – IV;3 – II;2 – V;3 – I;4 - IVC. 1 – IV;2 – II;3 – V;2 – I;3 – IV;4 - III。
用数据说话——软件供应链安全的重要性不言而喻
hhhhh109p的博客
11-10 933
四个维度 多组数据 充分说明软件供应链安全的风险与重要性,软件供应链安全是大势所趋啊 快快来了解一哈~
保障数字生态:软件供应链安全的重要性与挑战
andre1918的博客
11-17 138
软件供应链安全管理(Software Supply Chain Security Management,SSC)是指对软件开发生命周期各阶段实施有效的安全管理,确保从源代码到最终软件产品的整个过程都符合安全规范和标准。它涵盖了软件开发、供应商管理、交付、运营和维护等各个环节,旨在降低软件供应链中的安全风险。
『每周译Go』GitHub 为 Go 社区带来供应链安全功能
Go中国
07-28 325
Go 国际社区从一开始就拥抱 GitHub ( GitHub 即是 Go 代码协作的地方也是发布包的地方) 使得 Go 成为 如今 GitHub 上排名前 15 的编程语言。我们很高兴地宣...
KEY CHARACTERISTICS OF SOFTWARE SOLUTIONS SUPPORTING A MODERN, END-TO-END SUPPLY CHAIN AGILITY
BLOG域名:programb.blog.csdn.net
04-14 1046
Modern end-to-end supply chains offer greater scalability and agility— with more IT flexibility to allow for easier expansion and contraction. The ability to respond to rapidly changing demands is ess...
Improving Security on Cisco Routers
gotonet的专栏
10-29 722
IntroductionThis document is an informal discussion of some Cisco configuration settings that network administrators should consider changing on their routers, especially on their border routers, in o
Security Testing Basics
weixin_34235457的博客
08-30 221
Security Testing BasicsSoftware security testing is the process of assessing and testing a system to discover security risksand vulnerabilities of the system and its data. There is no universal termin...
Security+ 5. 实现主机/软件安全
f_carey的博客
08-05 1132
5. 实现主机/软件安全性5.1 加固(Hardening)5.2 可信计算基础(trusted computing base/TCB)5.2.1 硬件和固件安全5.2.2 软件安全5.2.2.1 软件更新5.2.2.2 应用程序黑名单与白名单5.2.2.3 防恶意软件(Anti-malware software)5.2.2.4 硬件外围设备的安全5.2.3 嵌入式系统(Embedded system)5.2.4 保护主机准则5.3 云和虚拟化安全5.3.1 虚拟化的安全性5.3.2 云计算Cloud co
java security code guider line
haizhiguang的专栏
03-23 2226
source: http://www.oracle.com/technetwork/java/seccodeguide-139067.html Secure Coding Guidelines for Java SE  Updated for Java SE 8  Document version: 5.0 Published: 02 April 2014 L
MATLAB Supply Chain Management Optimization: Strategies for Enhancing Efficiency and Case Studies
Overview of MATLAB Applications in Supply Chain Management Supply chain management (SCM) is a critical component of business operations, involving all aspects from the procurement of raw materials, ...
强化学习与网络安全资源
学-> 思->用
05-21 235
【代码】强化学习与网络安全资源。
强化学习与网络安全资源-论文和环境
学-> 思->用
05-14 89
【代码】强化学习与网络安全资源-论文和环境。
【系统架构设计师】需要掌握的专业术语200个及简称
数据知道的博客
09-26 1281
软件能力成熟度模型集成(Capability Maturity Model Integration for Software,CMMI)通用服务发现和集成协议(Universal Description, Discovery and Integration,UDDI)基于体系结构(架构)的软件设计(Architecture-Based Software Design,ABSD)软件架构分析方法(Software Architecture Analysis Method,SAAM)
部标主动安全(ADAS+DMS)对接说明
谁念西风独自凉
09-27 735
上一篇介绍了,这里说一下如何对接主动安全附件服务器。流媒体的对接主要牵扯到4个方面:(1)平台端:业务端系统,包含前端呈现界面。(2)JT/T808网关:部标设备接入网关,这个是非常重要的,是设备与平台进行数据交换的桥梁,流媒体相关的指令操作也必须依赖它完成。(3)部标视频机:符合JT/T808协议的车载视频机器。(4)流媒体服务:符合苏标、粤标、川标、陕标协议的主动安全附件服务,接收文件流,并存储。
Splashtop 加入 Microsoft 智能安全协会
最新发布
SplashtopLoki的博客
09-27 620
Splashtop 的 Foxpass Cloud RADIUS 可提供精确的访问控制,保护 Wi-Fi 网络免受未授权用户和网络攻击的侵害,Foxpass 因其流畅的用户体验和强大的安全性而广受认可。MISA 由独立软件供应商(ISV)和托管安全服务提供商(MISA)组成,他们将其解决方案与 Microsoft 安全技术集成,以更好地保护我们共同的客户免受日益增长的网络威胁。MISA 的使命是提供行业领先的智能安全解决方案,在安全威胁不断增加的情况下,以 AI 的速度和规模保护组织安全
网络编程(5)——模拟伪闭包实现连接的安全回收
m0_63086198的博客
09-26 1097
new_session通过bind绑定时,new_session的计数就会加一,所以在bind后,new_session的生命周期和新构造函数的生命周期相同,因为新生成的函数对象引用了new_session(new_session通过值传递的方式被复制构造函数使用)。,但是通过bind操作,将new_session作为数值传递给bind函数,而bind函数返回的函数对象内部引用了该new_session所以引用计数增加1,这样保证了new_session不会被释放。今天学习如何通过C11智能指针构造伪。
注册安全分析报告:人民卫生音像
Explinks的博客
09-25 697
人民卫生音像出版社,作为国家卫生健康委员会、中宣部、财政部、教育部等国家部委的领导下的官方企业, 采用的是通俗的滑动验证产品, 该产品稳定并且市场占有率很高, 在一定程度上提高了用户体验, 但安全性在机器学习的今天, 已经无法应对攻击了,并且正是由于该产品通俗, 所以在网上破解的文章和教学视频也是大量存在,并且经过验证滑动产品很容易被破解, 所以除了滑动验证方式, 花样百出的产品层出不穷,但本质就是牺牲用户体验来提高安全。很多人在短信服务刚开始建设的阶段,可能不会在安全方面考虑太多,理由有很多。
从《GTA5》的反外挂斗争看网络安全的重要性
@云安全小杜
09-26 725
本文将探讨《GTA5》在对抗外挂过程中遇到的挑战,特别是当游戏开发者试图增强游戏安全性时所遭受的DDoS攻击,并从中提炼出对于网络安全的一些启示。然而,随着游戏人气的增长,一些不法分子开始利用技术手段制作并销售外挂程序,这些程序可以让使用者在游戏中获得不公平的优势,从而破坏了游戏环境。请注意,以上内容是基于假设的情景编写的技术分析文章,实际案例可能涉及更多的细节和技术层面的问题。《GTA5》与外挂之间的斗争提醒我们,在享受数字世界带来的便利的同时,也需要时刻警惕潜在的安全风险,并积极采取措施加以防范。
动态控制器调度:SDN安全增强的关键策略
本文主要探讨的是软件定义网络Software-Defined Networking, SDN)中的动态控制器调度问题,这是一个关键的安全挑战。SDN作为一种新型网络架构,旨在提高网络灵活性和效率,通过服务导向的架构,提供模块化解决...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小饅頭

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值