保護開原始碼供應鏈或可有助於防止下一次大型網路攻擊
SolarWinds遭受的供應鏈攻擊引起了轟動,在安全領域引起了軒然大波,許多CISO和安全主管都在問:“我的軟體供應鏈安全嗎?”
經過數月的分析,我們知道許多組織容易受到供應鏈攻擊。 在一個商業世界中,我們都非常依賴第三方元件,這些開源軟體中的漏洞需要嚴格的安全測試。
沒有一個組織是一個孤島,SolarWinds事件是軟體供應鏈攻擊的一個例子,在這種攻擊中,被破壞的程式碼被推到客戶環境中執行。結果,許多SolarWinds的客戶也受到了影響,其中包括幾家《財富》500強公司。這種場景是供應鏈攻擊發生的幾種方式之一。
我們如何做才能最好地防禦此類事件?
保護軟體安全的出發點是對知識的全面瞭解。透過清楚軟體供應鏈中的關鍵內容,瞭解軟體中都有什麼來更準確地做出相關防禦。另一個需要注意的是,CISO和DevSecOps團隊需要關注軟體中的程式碼安全及在開發過程中對開源元件的依賴。
開源對犯罪分子來說是“唾手可得的果實”
今天,開源元件存在於所有型別的軟體中——甚至是私有軟體。這就是軟體開發的本質。開發團隊不斷地使用開源包和容器來推動創新和開發新程式碼。
事實上,Sonatype、IT Revolution和Muse.dev釋出的2021年軟體供應鏈狀態報告顯示,去年,四大開源生態系統共釋出了6,302,733個新版本,並引入了723,570個新專案。
該報告指出,這些社群目前共包含37,451,682種不同版本的元件,這意味著全球供應量同比增長20%。但這種增長也意味著隨著開源變得越來越普遍,試圖利用它的犯罪興趣也在增加。Sonatype的報告發現, 針對積極滲透開原始碼的攻擊增加了430%。
報告的作者在研究中說:“世界上的開源社群正面臨著一種新的、迅速擴大的威脅,這與被動的對手利用已知的野外漏洞無關,而與侵略性的攻擊者直接將惡意軟體植入開源專案有關。”
開源之所以如此有價值,也是因為它的本質。如果沒有管理,沒有明確的監督,開源儲存庫就會被破壞。軟體行業目前並沒有跟蹤所有程式碼的原始碼,也沒有對這些國際程式碼工廠中應用的安全標準等級進行分級。任何有良好或惡意意圖的人都可以輕鬆地將其程式碼插入儲存庫中。 因為開源軟體經常包含漏洞,所以對這個“最容易摘到的果實”的攻擊增加了。
跟蹤開源依賴項是一項艱難的任務。但是安全領導者必須知道開發人員從哪裡獲得他們的開源和第三方打包程式碼、容器和基礎設施作為程式碼。
企業如何更好地管理開源供應鏈的風險?
從組織的高層到整個IT部門,每個人都應該掌握開發中使用的開原始碼的安全級別。以下三個關鍵步驟可以幫助公司更加了解開源:
1. 建立和維護軟體物料清單
2. 確定程式碼建立位置的安全級別
3.加強軟體程式碼安全檢測,包括自研程式碼及開源元件程式碼
在現實中,邁出第一步的谷歌為開原始碼庫的分級樹立了一個質量榜樣。谷歌使用谷歌Scorecard程式對200,000多個開放原始碼儲存庫進行了從1到10的排名,以確定這些“程式碼工廠”的安全性。
然而,對於一個公司來說,要在內部大規模複製谷歌的工作需要大量的人工資源,這將增加開發人員和安全團隊之間的摩擦。複製谷歌模式或許存在困難,但可以透過以下這幾點來為企業軟體中開源元件安全增加保障:
確定開源元件的出處(來自哪個儲存庫)
開發人員想要創新、構建和推送程式碼,而安全團隊想要確保程式碼是安全的。自動化DevSecOps過程可以消除許多保護程式碼所需的手動步驟。如 靜態程式碼檢測工具及SCA等工具,可以高效幫助開發人員及安全人員解決軟體中的安全缺陷問題。
標準化、協作和透明度
作為一個集體軟體行業,我們需要問自己如何建立和記錄程式碼儲存庫的標準,並使它們公開訪問,這樣程式碼的風險對任何想要使用它的公司來說都是清楚的。
這一過程應包括制定安全標準、與標準相一致的分級標準,以及建立公開透明的分級機制。
越來越多的公司,無論大小,開始進行安全防禦準備。這將促進行業內更大的合作,提高對程式碼供應鏈安全建設的信心,並應該是減少大規模網路攻擊的積極力量。、
參讀連結:
https://www.helpnetsecurity.com/2021/11/24/securing-open-source-code-supply-chains/
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/70000012/viewspace-2845050/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 構建安全程式碼 防止供應鏈攻擊
- 為什麼必須防止供應鏈攻擊?
- 5 種方法,教你如何防禦供應鏈網路攻擊
- 網路安全行政命令:保護軟體供應鏈
- SolarWinds供應鏈攻擊事件分析事件
- 如何保護Windows網路免受勒索軟體攻擊Windows
- 保護您的資料免受網路攻擊的技巧
- 如何防止SQL隱碼攻擊?網路安全防禦方法SQL
- 如何有效防止網路攻擊?建議收藏!
- Gawker攻擊事件暴露密碼保護缺陷事件密碼
- 網站如何防止攻擊網站
- 今年供應鏈攻擊增加了600%以上
- 「白嫖」開源的後果就是供應鏈攻擊麼?| 編碼人聲
- Cilium是如何防止常規網路攻擊的?
- 利用可信的IT供應鏈供應商作為切入點 黑客逐漸瞄準供應鏈攻擊黑客
- 供應鏈攻擊是什麼?應該如何處理?
- 如何保護您不瞭解的資料資產免受網路攻擊?
- 供應鏈攻擊和關鍵基礎設施
- 如何防止伺服器被惡意網路攻擊?伺服器
- 開原始碼:網路攻擊的下一個重點目標原始碼
- Sonatype:2020年軟體供應鏈狀況 下一代開源網路攻擊增長430%
- 伊朗大型鋼鐵公司IT系統遭網路攻擊
- Mybatis如何防止SQL隱碼攻擊MyBatisSQL
- 1.5TB航空供應商資料洩露背後,竟是供應鏈攻擊的持續“加碼”?
- 網路攻擊中超過一半的初始感染來自漏洞和脆弱的供應鏈
- NSA 和 CISA分享保護軟體供應鏈安全指南
- 如何保護企業免受黑客攻擊?黑客
- [譯文]4種簡單的方法保護您的公司免受網路攻擊
- 警惕!VoIP DDoS 攻擊呈上升趨勢,Cloudflare 保護您的網路安全!Cloud
- 全球最大肉類供應商JBS遭駭客攻擊!企業如何應對日益頻繁的網路攻擊?
- 無線網路攻擊有哪些?如何防護?
- 網路攻擊
- 供應鏈攻擊呈上升趨勢的5個原因
- Nginx防止DDOS攻擊Nginx
- 如何防止XSS攻擊
- 區塊鏈安全:基於區塊鏈網路攻擊的方式原理詳解區塊鏈
- 日本豐田汽車因供應商遭網路攻擊被迫停產
- 聚合供應鏈供貨平臺系統開發案例介紹丨聚合供應鏈APP開發原始碼設計APP原始碼