如果说2020年是人们敏锐地感受到消费品供应链压力的一年,那么2021年则是软件供应链安全意识上升的一年。在2021年的一次备受瞩目的网络攻击中,包括一些美国政府机构在内的数千名客户因下载受损的SolarWinds更新而受到影响。SolarWinds供应链攻击并非孤立案例。事实上,软件供应链的弱点在最近的Log4j漏洞中显而易见。广泛使用的开源Java日志记录框架Log4j中的缺陷使数以万计的应用程序面临风险,从数据存储服务到在线视频游戏。由于在生产环境中运行了如此多的轻维护代码,软件供应链已经为Log4j等安全漏洞利用做好了准备。这是开源领域的一个热门话题,因为许多人采用维护不力的软件存储库,将它们投入生产,并且不再修补它们。这就是为什么2022年将是软件供应链安全元年。以下是行业专家预测公司将在2022年努力加强其软件供应链安全并且应该采取的三种做法。(1)容器镜像distroless的深入探索2022年,企业应该考虑标准化和审慎修订其容器镜像,包括distribution。事实上,有些人甚至会说企业应该“不间断”。在distroless模型中,应用程序仍然打包在容器镜像中,但只留下操作系统的最小痕迹。这个想法是通过剥离尽可能多的操作系统(例如删除包管理器、库和外壳)来减少网络攻击面。但是,重要的是要了解,就像在无服务器计算中使用服务器一样,分布中也有分布(和更少的分布)。这可能是distroless模型的真正价值所在,它提供了一个框架来仔细挑选需要和不需要的资源,而不是一味地专注于减小单个容器镜像的大小。(2)检查容器镜像和注册表软件从未如此复杂,如果企业不了解正在部署的所有内容,就会遇到问题。随着容器使用的增加,组织需要考虑如何使用和部署容器镜像。换句话说,可信的东西需要从可信的地方下载。企业可以抓住机会以更快的速度生产产品。或者非常小心,不要成为下一次SolarWinds网络攻击的受害者。事实上,一些企业在从容器注册表中提取软件时拥有受控的安全环境。企业可以从他们想要的任何地方拉开发人员。这有点像让每个承包商管理自己的供应链合同,但考虑到恶意攻击,这很可怕。谈到容器供应链,很容易陷入被黑的形象。因此,企业需要从可信赖的供应商处获取容器镜像,或者确保他们了解(并能够从头重建)供应链中的每一个容器镜像。(3)EvaluatingSLSA预示着企业将开始探索和实施供应链软件级别(SLSA),这是一个保护软件供应链完整性的框架。SLSA基于Google的Borg内部二进制授权(BAB)平台,这是一种本地强制性检查,旨在确保生产软件和配置得到适当的审查和授权。谷歌指出,采用BAB有助于降低内部风险、防止网络攻击并支持生产系统的一致性。谷歌声称SLSA的目标是通过防范网络威胁来提高行业安全性,尤其是在开源环境中。SLSA还让消费者对他们使用的软件的安全状况感到安心。“供应链攻击很可怕,因为它们真的很难对付,而且它们清楚地表明,企业可以信任整个生态系统,即他们机器上所有代码的供应,”国际安全研究员NickWeaver说。加州大学伯克利分校计算机科学研究所。供应商,信任每个供应商的供应商。”Google发布了SLSA概念证明,允许用户在构建组件时创建和上传输出,从而达到SLSA级别1。建议任何软件开发人员查看此概念证明。永不中断软件供应链企业在过去几年经历了多起事件,软件供应链攻击的激增更是雪上加霜,企业应对新冠疫情,忽视供应链安全。当企业计划如何在大流行中生存时,保护软件供应链应该是重中之重。如果不确保软件供应链的安全,企业及其客户将始终处于观望状态。当然,确保供应链安全的理念是它的安全取决于最薄弱的环节,这意味着没有任何一家企业可以单独保护软件供应链。到2022年,重要的是要考虑可以添加到现有最佳实践中的策略和技术。这种连续分层将帮助组织在与软件供应链攻击的斗争中保持最新状态。人们总是在寻找下一个“黑天鹅”事件——一种看不见的威胁。对于这种情况,真的只有一个全面的防御:紧盯供应链!
