深入探讨跨端、IoT 动态开发、DevOps等大前端方向热门技术话题,这里直达 了解详情
写点什么

Aqua Security 报告:供应链攻击大幅增加,软件开发环境的安全水平仍然很低

  • 2022 年 1 月 27 日
  • 本文字数:863 字

    阅读完需:约 3 分钟

Aqua Security 报告:供应链攻击大幅增加,软件开发环境的安全水平仍然很低

Aqua Security最近发布了一份供应链安全报告。该报告指出,从 2020 年到 2021 年,供应链攻击增长了 300%,软件开发环境的安全水平仍然很低。在供应链攻击威胁日益增加的情况下,谷歌云原生计算基金会 (CNCF)也相继发布论文详细介绍提高供应链安全性的方法。

 

这份报告由 Aqua Security 旗下的供应链安全公司Argon Security编写。Aqua Security 总共历时六个月,调查了许多客户的供应链,确定了企业应该重点关注的三个风险领域。

 

第一个是使用易受攻击的软件包。该报告指出几乎所有商业软件中都会使用开源代码,这些代码可能含有漏洞,需要不断投入时间和精力来进行软件更新。主要有两种利用方式:利用现有漏洞和通过中毒的软件包(package poisoning)。最近的Log4j 漏洞的例子属于前者,而ua-parser.js 包的入侵则属于后面这种情况。

 

第二个是通过一些受损的管道工具。Codecov供应链漏洞就是一个例子。攻击者通过一个 Docker 映像破坏了 Codecov bash uploader,从而能够从 CI 过程中提取环境变量,进而暴露 Codecov 客户的敏感数据。

 

第三个与代码和工件完整性有关,包括将不良或敏感代码上传到源代码存储库。该团队在调查的客户环境中发现了许多问题,包括容器映像漏洞、将敏感数据发布到代码存储库以及代码质量问题。

 

该研究指出,大多数团队缺乏资源来应对这些挑战。Argon Security 首席营收官Eran Orzel说:“大多数 AppSec 团队缺乏充分应对供应链攻击风险的资源、预算和知识。由于需要开发人员和 DevOps 团队的合作,这就将问题进一步复杂化了。”

 

谷歌和云原生计算基金会 (CNCF) 都发布了帮助提高软件包完整性的指南。谷歌的软件工件供应链级别 (SLSA) 框架建立在 Borg 的二进制授权基础之上。它声明所有软件工件都应该是非统一的和可审计的。如果怀疑有攻击发生,理想情况下的自动化审计有助于调查。CNCF 的论文《软件供应链安全最佳实践》定义了供应链安全的四个关键原则:信任、自动化、清晰度和相互身份验证:每个步骤都必须是可信任的,使用自动化可以减少人为错误和配置漂移,应明确定义构建过程和环境,使用定期密钥轮换强化认证机制。

2022 年 1 月 27 日 19:242456

评论

发布
暂无评论
发现更多内容

测试的最终产物是什么

chenkl

测试 思维 测试原则

CentOS8安装Docker

爱好编程进阶

Java 面试 后端开发

Demo:第三章:权限框架spring security oauth2

爱好编程进阶

Java 面试 后端开发

探究Presto SQL引擎(2)-浅析Join

vivo互联网技术

数据库 算法 presto

2020大厂秋招面试末班车,阿里架构师献给java程序员的面试全攻略

爱好编程进阶

Java 面试 后端开发

TASKCTL 作业流程与模块之间的区别

TASKCTL

Docker kettle 批量任务 调度引擎 ETL任务

网易互娱基于 Flink 的支付环境全关联分析实践

Apache Flink

大数据 flink 编程 流计算 实时计算

CRUD多年,终获腾讯offer,就靠这几套面试题

爱好编程进阶

Java 面试 后端开发

网站速度优化的三套解决方案!

源字节1号

微信小程序 前端开发 后端开发 SEO优化

2021春招涨薪跳槽技术必备:分布式宝典“限流

爱好编程进阶

Java 面试 后端开发

28岁自学java,包装简历3年拿到15k薪资,分享我的学习经历

爱好编程进阶

Java 面试 后端开发

移动应用性能管理白皮书最新发布

基调听云

APM App 基调听云 行业报告

大数据培训Flink 常见的维表 Join 方案

@零度

大数据 flink join

10月阿里面试总结:必问的Spring面试解析,面试时要注意的那些坑

爱好编程进阶

Java 面试 后端开发

2021最新「阿里」Java高级工程师面试高频题

爱好编程进阶

Java 面试 后端开发

Flink 流批一体在小米的实践

Apache Flink

大数据 flink 编程 流计算 实时计算

ArchSummit全球架构师峰会北京站

ArchSummit全球架构师峰会北京站

Aqua Security 报告:供应链攻击大幅增加,软件开发环境的安全水平仍然很低_开源_Tina_InfoQ精选文章