Aqua Security最近发布了一份供应链安全报告。该报告指出,从 2020 年到 2021 年,供应链攻击增长了 300%,软件开发环境的安全水平仍然很低。在供应链攻击威胁日益增加的情况下,谷歌和云原生计算基金会 (CNCF)也相继发布论文详细介绍提高供应链安全性的方法。
这份报告由 Aqua Security 旗下的供应链安全公司Argon Security编写。Aqua Security 总共历时六个月,调查了许多客户的供应链,确定了企业应该重点关注的三个风险领域。
第一个是使用易受攻击的软件包。该报告指出几乎所有商业软件中都会使用开源代码,这些代码可能含有漏洞,需要不断投入时间和精力来进行软件更新。主要有两种利用方式:利用现有漏洞和通过中毒的软件包(package poisoning)。最近的Log4j 漏洞的例子属于前者,而ua-parser.js 包的入侵则属于后面这种情况。
第二个是通过一些受损的管道工具。Codecov供应链漏洞就是一个例子。攻击者通过一个 Docker 映像破坏了 Codecov bash uploader,从而能够从 CI 过程中提取环境变量,进而暴露 Codecov 客户的敏感数据。
第三个与代码和工件完整性有关,包括将不良或敏感代码上传到源代码存储库。该团队在调查的客户环境中发现了许多问题,包括容器映像漏洞、将敏感数据发布到代码存储库以及代码质量问题。
该研究指出,大多数团队缺乏资源来应对这些挑战。Argon Security 首席营收官Eran Orzel说:“大多数 AppSec 团队缺乏充分应对供应链攻击风险的资源、预算和知识。由于需要开发人员和 DevOps 团队的合作,这就将问题进一步复杂化了。”
谷歌和云原生计算基金会 (CNCF) 都发布了帮助提高软件包完整性的指南。谷歌的软件工件供应链级别 (SLSA) 框架建立在 Borg 的二进制授权基础之上。它声明所有软件工件都应该是非统一的和可审计的。如果怀疑有攻击发生,理想情况下的自动化审计有助于调查。CNCF 的论文《软件供应链安全最佳实践》定义了供应链安全的四个关键原则:信任、自动化、清晰度和相互身份验证:每个步骤都必须是可信任的,使用自动化可以减少人为错误和配置漂移,应明确定义构建过程和环境,使用定期密钥轮换强化认证机制。
分布式云行业实践指南(2023)
业内首个分布式云行业实践方法论、工具箱。
评论