风云变幻的2021年即将过去,供应链危机成为一年中印象最深刻的现实问题之一。数百艘集装箱船滞留港口,货物延误,一些重要民生物资甚至出现短缺。总之,市场供不应求。尽管供应紧张给华尔街带来了高销量、高利润的美梦,但一种未知的威胁仍在阴影中若隐若现,甚至开始出现在整个云系统环境中。没错,云系统也有自己的供应链;在构建虚拟化和在虚拟化层创建云容器的过程中,必须需要一套完整的代码和软件供应链作为企业日常基础设施的一部分。近日,42股发布的一份报告显示:96%的第三方容器应用存在已知安全漏洞,63%的第三方代码存在不安全配置的安全漏洞。目前,这些风险状况仍处于早期阶段。但最近的报告显示,风险无处不在,而且几乎无法控制。这些风险是信任体系的核心,就像一个威力巨大的火药桶,随时可能转化为真实的影响,呈指数级扩散。容器环境作为供应链的上游,更面向应用程序的核心。一旦某个功能更新出现哪怕是一个很小的漏洞,问题的范围就会迅速扩大,对各种数据类型乃至软件本身的完整性造成严重的破坏。真正的威胁。无论是让美国东海岸瘫痪数日的ColonyPipelineCompany黑客攻击事件,还是威胁居民餐桌的JBS肉类加工厂遇袭事件,都应该是我们关注的供应链风险向量。应高度重视。我们必须接受新的现实:在容器技术的影响下,我们正在不知不觉中将遗留软件和隐患融入到新的结构和新的部署中。但这种风险难以检测,会威胁到整个DevOps部署环境和业务流水线。应对此类风险情况的一大前提是加强对技术供应链漏洞的关注和分析能力。重回网络战场信息技术必须重回软件基础的分析、监控和保护。只有通过仔细评估、彻底审查、持续验证和监控整个部署过程中的每个入口和出口点,才能克服这一潜在挑战。具体来说,IT部门需要在风险环境下做:像拆乐高积木一样解剖应用程序和基础设施集合,逐一跟踪、记录并根据需要采取行动。开始推出自定义图像和容器。警惕第三方代码,包括市场上交付的各种虚拟机和云镜像。在DevOps成为运营新常态的今天,各企业也需要在这种新常态下对整个组织内部的软件安全供应链做出深刻的判断。就在一年多以前,在SolarWinds漏洞事件中,身份不明的攻击者显然打算利用SolarWinds产品的能力来管理和直接访问客户基础设施。此类攻击有可能渗透到信任保护伞下的数千个第三方基础设施。以可信软件为诱饵毫无疑问,尝试使用SolarWinds等第三方软件来危害企业用户群的尝试为攻击者开辟了新的机会。这些网络犯罪分子意识到,受信任的软件来源将成为他们与受害者沟通的一条捷径。而一旦有更多可信的第三方或企业软件源被劫持,必然会产生更大的灾难性后果。这个问题现实、严重、迫在眉睫,需要各方共同努力加以克服。
