AI实践哪家强?来 AICon, 解锁技术前沿,探寻产业新机! 了解详情
写点什么

Aqua Security 报告:供应链攻击大幅增加,软件开发环境的安全水平仍然很低

  • 2022-01-27
  • 本文字数:863 字

    阅读完需:约 3 分钟

Aqua Security 报告:供应链攻击大幅增加,软件开发环境的安全水平仍然很低

Aqua Security最近发布了一份供应链安全报告。该报告指出,从 2020 年到 2021 年,供应链攻击增长了 300%,软件开发环境的安全水平仍然很低。在供应链攻击威胁日益增加的情况下,谷歌云原生计算基金会 (CNCF)也相继发布论文详细介绍提高供应链安全性的方法。

 

这份报告由 Aqua Security 旗下的供应链安全公司Argon Security编写。Aqua Security 总共历时六个月,调查了许多客户的供应链,确定了企业应该重点关注的三个风险领域。

 

第一个是使用易受攻击的软件包。该报告指出几乎所有商业软件中都会使用开源代码,这些代码可能含有漏洞,需要不断投入时间和精力来进行软件更新。主要有两种利用方式:利用现有漏洞和通过中毒的软件包(package poisoning)。最近的Log4j 漏洞的例子属于前者,而ua-parser.js 包的入侵则属于后面这种情况。

 

第二个是通过一些受损的管道工具。Codecov供应链漏洞就是一个例子。攻击者通过一个 Docker 映像破坏了 Codecov bash uploader,从而能够从 CI 过程中提取环境变量,进而暴露 Codecov 客户的敏感数据。

 

第三个与代码和工件完整性有关,包括将不良或敏感代码上传到源代码存储库。该团队在调查的客户环境中发现了许多问题,包括容器映像漏洞、将敏感数据发布到代码存储库以及代码质量问题。

 

该研究指出,大多数团队缺乏资源来应对这些挑战。Argon Security 首席营收官Eran Orzel说:“大多数 AppSec 团队缺乏充分应对供应链攻击风险的资源、预算和知识。由于需要开发人员和 DevOps 团队的合作,这就将问题进一步复杂化了。”

 

谷歌和云原生计算基金会 (CNCF) 都发布了帮助提高软件包完整性的指南。谷歌的软件工件供应链级别 (SLSA) 框架建立在 Borg 的二进制授权基础之上。它声明所有软件工件都应该是非统一的和可审计的。如果怀疑有攻击发生,理想情况下的自动化审计有助于调查。CNCF 的论文《软件供应链安全最佳实践》定义了供应链安全的四个关键原则:信任、自动化、清晰度和相互身份验证:每个步骤都必须是可信任的,使用自动化可以减少人为错误和配置漂移,应明确定义构建过程和环境,使用定期密钥轮换强化认证机制。

2022-01-27 19:244855

评论

发布
暂无评论
发现更多内容

Week 4命题作业

balsamspear

极客大学架构师训练营

一文读懂线程池的工作原理(故事白话文)

捡田螺的小男孩

Java 面试 线程池 线程池工作原理

容器开发运维人员的Linux操作机配置优化建议

东风微鸣

Kubernetes 最佳实践 k8s入门

小熊派开发实践丨漫谈LiteOS之传感器移植

华为云开发者联盟

开发 IoT stm32

区块链赋能供应链金融|应用优势与四类常见模式

CECBC

区块链

Java中String占用空间的评估标准

陈德伟

Java jdk 源码剖析

如何基于消息中间件实现分布式事务?我想说的都在这儿了!!

冰河

分布式事务 微服务 分布式数据库 数据一致性 海量数据

关于编码

西贝

Java 编码

Java中的String到底占用多大的内存空间?你所了解的可能都是错误的!!

冰河

Java 内存泄露 string 性能调优 内存溢出

如果只推荐一本 Python 书,我要 Pick 它!

Python猫

Python 学习 编程 程序员 码农

C/C++最佳实践

jiangling500

c c++ 最佳实践

数据安全无小事:揭秘华为云GaussDB(openGauss)全密态数据库

华为云开发者联盟

安全 数据 加密

为什么Java容器推荐使用ExitOnOutOfMemoryError而非HeapDumpOnOutOfMemoryError?

东风微鸣

Kubernetes 最佳实践 jvm调优

食堂就餐卡系统设计

Griffenliu

架构作业:一致性hash

Nick~毓

谁说AI看不懂视频?

华为云开发者联盟

视频 剪辑

商用密码与区块链共推数字经济发展

CECBC

网络安全 数字经济

微服务的理想与现实

京东科技开发者

云原生

大明湖畔昇腾绽放,趵突泉里智能奔涌

脑极体

Week 4学习总结

balsamspear

极客大学架构师训练营

在K8S Volume中使用 subPath

东风微鸣

Kubernetes 最佳实践

二十一、深入Python强大的装饰器

刘润森

Python

epoll服务器解析

菜鸟小sailor 🐕

终于,SM2国密算法被Linux内核社区接受了!

阿里云基础软件团队

mongodb源码实现、调优、最佳实践系列-Mongodb网络模块源码实现及性能调优(一)

杨亚洲(专注MongoDB及高性能中间件)

MySQL mongodb 中间件 架构师 分布式数据库mongodb

socket编程

菜鸟小sailor 🐕

websocket

架构师训练营第 2 期第一周作业

井中人

听说你会缓存?

架构师修行之路

redis 缓存 微服务

一致性 hash

garlic

极客大学架构师训练营

架构师训练营第2期-第一周-学习总结

井中人

设计数据库集群读写分离并非易事

架构师修行之路

分布式 微服务

Aqua Security 报告:供应链攻击大幅增加,软件开发环境的安全水平仍然很低_开源_Tina_InfoQ精选文章