保護開原始碼供應鏈或可有助於防止下一次大型網路攻擊

SolarWinds遭受的供應鏈攻擊引起了轟動，在安全領域引起了軒然大波，許多CISO和安全主管都在問:“我的軟體供應鏈安全嗎?”

經過數月的分析，我們知道許多組織容易受到供應鏈攻擊。 在一個商業世界中，我們都非常依賴第三方元件，這些開源軟體中的漏洞需要嚴格的安全測試。

沒有一個組織是一個孤島，SolarWinds事件是軟體供應鏈攻擊的一個例子，在這種攻擊中，被破壞的程式碼被推到客戶環境中執行。結果，許多SolarWinds的客戶也受到了影響，其中包括幾家《財富》500強公司。這種場景是供應鏈攻擊發生的幾種方式之一。

我們如何做才能最好地防禦此類事件?

保護軟體安全的出發點是對知識的全面瞭解。透過清楚軟體供應鏈中的關鍵內容，瞭解軟體中都有什麼來更準確地做出相關防禦。另一個需要注意的是，CISO和DevSecOps團隊需要關注軟體中的程式碼安全及在開發過程中對開源元件的依賴。

開源對犯罪分子來說是“唾手可得的果實”

今天，開源元件存在於所有型別的軟體中——甚至是私有軟體。這就是軟體開發的本質。開發團隊不斷地使用開源包和容器來推動創新和開發新程式碼。

事實上，Sonatype、IT Revolution和Muse.dev釋出的2021年軟體供應鏈狀態報告顯示，去年，四大開源生態系統共釋出了6,302,733個新版本，並引入了723,570個新專案。

該報告指出，這些社群目前共包含37,451,682種不同版本的元件，這意味著全球供應量同比增長20%。但這種增長也意味著隨著開源變得越來越普遍，試圖利用它的犯罪興趣也在增加。Sonatype的報告發現， 針對積極滲透開原始碼的攻擊增加了430%。

報告的作者在研究中說:“世界上的開源社群正面臨著一種新的、迅速擴大的威脅，這與被動的對手利用已知的野外漏洞無關，而與侵略性的攻擊者直接將惡意軟體植入開源專案有關。”

開源之所以如此有價值，也是因為它的本質。如果沒有管理，沒有明確的監督，開源儲存庫就會被破壞。軟體行業目前並沒有跟蹤所有程式碼的原始碼，也沒有對這些國際程式碼工廠中應用的安全標準等級進行分級。任何有良好或惡意意圖的人都可以輕鬆地將其程式碼插入儲存庫中。 因為開源軟體經常包含漏洞，所以對這個“最容易摘到的果實”的攻擊增加了。

跟蹤開源依賴項是一項艱難的任務。但是安全領導者必須知道開發人員從哪裡獲得他們的開源和第三方打包程式碼、容器和基礎設施作為程式碼。

企業如何更好地管理開源供應鏈的風險?

從組織的高層到整個IT部門，每個人都應該掌握開發中使用的開原始碼的安全級別。以下三個關鍵步驟可以幫助公司更加了解開源:

1. 建立和維護軟體物料清單

2. 確定程式碼建立位置的安全級別

3.加強軟體程式碼安全檢測，包括自研程式碼及開源元件程式碼

在現實中，邁出第一步的谷歌為開原始碼庫的分級樹立了一個質量榜樣。谷歌使用谷歌Scorecard程式對200,000多個開放原始碼儲存庫進行了從1到10的排名，以確定這些“程式碼工廠”的安全性。

然而，對於一個公司來說，要在內部大規模複製谷歌的工作需要大量的人工資源，這將增加開發人員和安全團隊之間的摩擦。複製谷歌模式或許存在困難，但可以透過以下這幾點來為企業軟體中開源元件安全增加保障：

確定開源元件的出處(來自哪個儲存庫)

開發人員想要創新、構建和推送程式碼，而安全團隊想要確保程式碼是安全的。自動化DevSecOps過程可以消除許多保護程式碼所需的手動步驟。如 靜態程式碼檢測工具及SCA等工具，可以高效幫助開發人員及安全人員解決軟體中的安全缺陷問題。

標準化、協作和透明度

作為一個集體軟體行業，我們需要問自己如何建立和記錄程式碼儲存庫的標準，並使它們公開訪問，這樣程式碼的風險對任何想要使用它的公司來說都是清楚的。

這一過程應包括制定安全標準、與標準相一致的分級標準，以及建立公開透明的分級機制。

越來越多的公司，無論大小，開始進行安全防禦準備。這將促進行業內更大的合作，提高對程式碼供應鏈安全建設的信心，並應該是減少大規模網路攻擊的積極力量。、

參讀連結：

https://www.helpnetsecurity.com/2021/11/24/securing-open-source-code-supply-chains/