写点什么

Aqua Security 报告:供应链攻击大幅增加,软件开发环境的安全水平仍然很低

  • 2022-01-27
  • 本文字数:863 字

    阅读完需:约 3 分钟

Aqua Security 报告:供应链攻击大幅增加,软件开发环境的安全水平仍然很低

Aqua Security最近发布了一份供应链安全报告。该报告指出,从 2020 年到 2021 年,供应链攻击增长了 300%,软件开发环境的安全水平仍然很低。在供应链攻击威胁日益增加的情况下,谷歌云原生计算基金会 (CNCF)也相继发布论文详细介绍提高供应链安全性的方法。

 

这份报告由 Aqua Security 旗下的供应链安全公司Argon Security编写。Aqua Security 总共历时六个月,调查了许多客户的供应链,确定了企业应该重点关注的三个风险领域。

 

第一个是使用易受攻击的软件包。该报告指出几乎所有商业软件中都会使用开源代码,这些代码可能含有漏洞,需要不断投入时间和精力来进行软件更新。主要有两种利用方式:利用现有漏洞和通过中毒的软件包(package poisoning)。最近的Log4j 漏洞的例子属于前者,而ua-parser.js 包的入侵则属于后面这种情况。

 

第二个是通过一些受损的管道工具。Codecov供应链漏洞就是一个例子。攻击者通过一个 Docker 映像破坏了 Codecov bash uploader,从而能够从 CI 过程中提取环境变量,进而暴露 Codecov 客户的敏感数据。

 

第三个与代码和工件完整性有关,包括将不良或敏感代码上传到源代码存储库。该团队在调查的客户环境中发现了许多问题,包括容器映像漏洞、将敏感数据发布到代码存储库以及代码质量问题。

 

该研究指出,大多数团队缺乏资源来应对这些挑战。Argon Security 首席营收官Eran Orzel说:“大多数 AppSec 团队缺乏充分应对供应链攻击风险的资源、预算和知识。由于需要开发人员和 DevOps 团队的合作,这就将问题进一步复杂化了。”

 

谷歌和云原生计算基金会 (CNCF) 都发布了帮助提高软件包完整性的指南。谷歌的软件工件供应链级别 (SLSA) 框架建立在 Borg 的二进制授权基础之上。它声明所有软件工件都应该是非统一的和可审计的。如果怀疑有攻击发生,理想情况下的自动化审计有助于调查。CNCF 的论文《软件供应链安全最佳实践》定义了供应链安全的四个关键原则:信任、自动化、清晰度和相互身份验证:每个步骤都必须是可信任的,使用自动化可以减少人为错误和配置漂移,应明确定义构建过程和环境,使用定期密钥轮换强化认证机制。

2022-01-27 19:244849

评论

发布
暂无评论
发现更多内容

三分钟部署一个免费妙鸭相机!

鹤涵

人工智能 LoRa Stable Diffustion

学员 Luke 的复盘 - 大纲

Luke

拥抱梦想夏令营:2024年暑假招生计划发布,助力青少年成长

科技热闻

XPET宠物游戏系统开发

l8l259l3365

打造新一代云原生"消息、事件、流"统一消息引擎的融合处理平台

码界西柚

RocketMQ 云原生 消息队列 2024年第五篇文章

IPQ6000 series IPQ6010 and IPQ6018: Explore infinite possibilities, when will your smart connection evolve?

wallysSK

聚道云软件连接器助力某新能源行业公司实现付款流程自动化

聚道云软件连接器

案例分享

docker日志设置大小、build cache清理及业务日志清理

智慧源点

Docker

泰开集团总会计师杜艳春:浅谈设备制造企业数智化之路

用友BIP

企业数智化

0.9uA 低功耗低压差稳压器

芯动大师

应对 DevOps 中的技术债务:创新与稳定性的微妙平衡

禅道项目管理

DevOps 自动化测试 技术债务 禅道项目管理

大模型Chatbots评估新视角:结合定性与程序方法的实践经验

Baihai IDP

程序员 AI LLM 白海科技 Chatbots

“云+冷链”新场景,华为云助力前海粤十“物畅其流”

华为云开发者联盟

后端 物联网 华为云 华为云开发者联盟

企业数字化转型是什么?数字化转型的痛点又是什么?怎么转?从哪里转?转了有哪些好处?

天津汇柏科技有限公司

数字化转型峰会

文心一言 VS 讯飞星火 VS chatgpt (174)-- 算法导论13.3 3题

福大大架构师每日一题

福大大架构师每日一题

DevSecOps|极狐GitLab IaC 安全扫描,保障云原生安全

极狐GitLab

【领先实践之离散制造行业】MOM全场景,助力光伏单晶行业降本增效

用友BIP

领先实践 光伏单晶行业

“数据要素×” 行动计划要做的几件小事,可都不是小事啊!

用友BIP

数据要素

商业智能、数据分析和需求预测在现代零售管理中的关键运用

第七在线

Aqua Security 报告:供应链攻击大幅增加,软件开发环境的安全水平仍然很低_开源_Tina_InfoQ精选文章