構建安全程式碼 防止供應鏈攻擊

在SolarWinds公司遭受大規模網路攻擊一年多之後，被攻擊的公司繼續受到其聲譽和財務損失的影響。此外，全球軟體供應鏈仍然容易受到嚴重的攻擊。

沒有人知道 SolarWinds 攻擊單獨建立了多少潛在的後門，這可能允許惡意行為者在看似無限數量的網路上持續存在;我們也不知道下一次攻擊何時會發生並可能帶來更可怕的後果。例如，在發現 Log4j 漏洞及其相關補丁六個月後，世界各地的網路和產品仍然存在沒有打補丁、易受攻擊並且可以在各種大小公司中被利用。

改變這種狀況，意味著開發人員、運營人員和DevOps 團隊應該開始構建更安全的程式碼。這也意味著使用雲服務、第三方軟體或供應商同時也應該更清楚地瞭解到程式碼的安全性。增加對底層技術本身的關注不會完全防止攻擊，但可以減少被攻擊的次數。

超越開原始碼

一個經常被推薦的解決方案是轉向開源軟體(OSS)。雖然開原始碼仍然容易受到攻擊，但建立OSS程式碼所涉及的過程和實踐是透明的，這大大削弱了不良行為者隱藏自己的能力。但這種方法不適合在私營部門大規模使用，因為無法阻止程式設計師簡單地複製他人的新程式碼，也無法保護軟體開發人員的智慧財產權。

還有其他一些方式同樣有效，包括將安全功能和測試整合到開發工具和流程中。例如，將靜態程式碼安全檢測和黑盒滲透測試等作為軟體生產過程的常規部分，將在協助開發人員和安全人員發現程式碼中漏洞方面發揮很大的作用。理想情況下，開發人員可以及時修復這些缺陷。此外，在開發過程的每一步評估安全性可以在漏洞被惡意行為者發現之前對其進行修復或打補丁。

程式碼簽名和掃描創新

透過其他方式發現程式碼(包括開原始碼)中的安全漏洞也有助於提高安全性。透過使用程式碼簽名等創新技術可以提醒開發人員在使用程式碼之前是否對程式碼進行了任何更改，從而有助於在程式碼實施到產品中之前發現駭客或後門。此外，對開發人員進行培訓，構建具有安全生命週期的產品，並實現用於合併和訪問產品程式碼的安全協議，可以防止由於SDLC過程錯誤(或不存在)而發生的網路攻擊。

首席資訊保安官的積極作用

CISO 和 IT 專業人員也可以發揮積極作用。他們需要評估其產品底層程式碼的安全性，充分利用軟體材料清單(SBOM)，其中列出了軟體的所有元件，但這只是一方面。這需要與程式碼簽名、缺陷掃描和更新元件列表等措施相結合，以發現庫和框架中新發布的弱點和漏洞。確保與軟體服務提供商簽訂的合同規定他們遵守安全的開發實踐變得越來越重要。

隨著全球對網路安全的高度重視，對於企業來說現在是專注於構建更安全程式碼的時候。但並不意味著網路安全的所有其他方面包括威脅情報、事件響應計劃等不那麼重要。但是，如果軟體底層的程式碼本身能夠變得更加安全，這些攻擊的數量就會減少，也會降低網路攻擊造成的影響。

文章來源：

https://devops.com/to-prevent-supply-chain-attacks-build-secure-code/