“All in Cloud”之后,和你聊聊「云原生DevOps的Kubernetes技巧」 了解详情
写点什么

Aqua Security 报告:供应链攻击大幅增加,软件开发环境的安全水平仍然很低

  • 2022 年 1 月 27 日
  • 本文字数:863 字

    阅读完需:约 3 分钟

Aqua Security 报告:供应链攻击大幅增加,软件开发环境的安全水平仍然很低

Aqua Security最近发布了一份供应链安全报告。该报告指出,从 2020 年到 2021 年,供应链攻击增长了 300%,软件开发环境的安全水平仍然很低。在供应链攻击威胁日益增加的情况下,谷歌云原生计算基金会 (CNCF)也相继发布论文详细介绍提高供应链安全性的方法。

 

这份报告由 Aqua Security 旗下的供应链安全公司Argon Security编写。Aqua Security 总共历时六个月,调查了许多客户的供应链,确定了企业应该重点关注的三个风险领域。

 

第一个是使用易受攻击的软件包。该报告指出几乎所有商业软件中都会使用开源代码,这些代码可能含有漏洞,需要不断投入时间和精力来进行软件更新。主要有两种利用方式:利用现有漏洞和通过中毒的软件包(package poisoning)。最近的Log4j 漏洞的例子属于前者,而ua-parser.js 包的入侵则属于后面这种情况。

 

第二个是通过一些受损的管道工具。Codecov供应链漏洞就是一个例子。攻击者通过一个 Docker 映像破坏了 Codecov bash uploader,从而能够从 CI 过程中提取环境变量,进而暴露 Codecov 客户的敏感数据。

 

第三个与代码和工件完整性有关,包括将不良或敏感代码上传到源代码存储库。该团队在调查的客户环境中发现了许多问题,包括容器映像漏洞、将敏感数据发布到代码存储库以及代码质量问题。

 

该研究指出,大多数团队缺乏资源来应对这些挑战。Argon Security 首席营收官Eran Orzel说:“大多数 AppSec 团队缺乏充分应对供应链攻击风险的资源、预算和知识。由于需要开发人员和 DevOps 团队的合作,这就将问题进一步复杂化了。”

 

谷歌和云原生计算基金会 (CNCF) 都发布了帮助提高软件包完整性的指南。谷歌的软件工件供应链级别 (SLSA) 框架建立在 Borg 的二进制授权基础之上。它声明所有软件工件都应该是非统一的和可审计的。如果怀疑有攻击发生,理想情况下的自动化审计有助于调查。CNCF 的论文《软件供应链安全最佳实践》定义了供应链安全的四个关键原则:信任、自动化、清晰度和相互身份验证:每个步骤都必须是可信任的,使用自动化可以减少人为错误和配置漂移,应明确定义构建过程和环境,使用定期密钥轮换强化认证机制。

2022 年 1 月 27 日 19:242377

评论

发布
暂无评论
发现更多内容

2021最新发布:Java面试突击大全 带你摸熟20+互联网公司面试考点

比伯

Java 编程 架构 程序人生 计算机

Flutter 学习笔记(一) Text 组件

U+2647

flutter 4月日更

四种软件架构概述

xcbeyond

Serverless 微服务 分布式架构 单体架构 4月日更

计算机原理学习笔记 Day7

穿过生命散发芬芳

计算机原理 4月日更

重读《重构2》- 封装变量

顿晓

重构 4月日更

模块二作业

求索

架构实战营

【架构实战营】第二模块总结

永远不要低估一颗冠军的心

架构实战营

【架构实战营】第二模块作业

永远不要低估一颗冠军的心

架构实战营

架构实战营模块二命题作业

Vic

架构实战营

面向对象编程九诫

六维

面向对象编程 4月日更

微服务中台技术解析之sso登录实践

小江

Java 后端 架构设计 SSO

架构实战业命题二学习总结

Vic

架构实战营

我把这个软件,推荐给了总监

yes

第二课作业

杰语

华仔训练营第二次作业

方堃

Python-Net编程

若尘

Python 网络编程 net

热乎的6个Notion使用技巧,学不会算我输。

彭宏豪95

效率 Notion 笔记 4月日更

Golang Map 和字符串

escray

学习 极客时间 Go 语言 4月日更

混沌工程缓存实战系列一Redis

心远

缓存 混沌工程

如何避免团队里出现搭便车现象

石云升

团队建设 28天写作 职场经验 管理经验 4月日更

架構實戰營 - 模塊 2 作業

Frank Yang

架构实战营

「前端初学者、硬件爱好者、编程自学者」微信小程序开发很简单!

智能物联实验室

大前端 硬件设计 硬件研发

推荐!看完全面掌握,最详细的 Docker 学习笔记总结(2021最新版)

民工哥

Docker 程序员 容器 DevOps 运维

爬虫实例:爬取中国大学排名Top20

Bob

Python python 爬虫 4月日更

新同学与老司机

小天同学

职场成长 工作体会 经验总结 4月日更 新同学

架构实战营模块二总结

竹林七贤

分布式系统当中的CAP理论

五分钟学大数据

分布式 CAP理论 4月日更

自学软件测试怎么学?(送思维导图+学习资源)

程序员阿沐

学习 软件测试 性能测试 自动化测试 测试开发

Service Mesh 从“趋势”走向“无聊”

阿里巴巴云原生

Java 运维 云原生 dubbo 中间件

8421的数学含义

山@支

Aqua Security 报告:供应链攻击大幅增加,软件开发环境的安全水平仍然很低_开源_Tina_InfoQ精选文章