【.com速译】软件供应链攻击发生在攻击者闯入并篡改复杂的软件开发供应链中的软件,注入恶意代码威胁远端目标时的供应链。这些注入的恶意代码可用于通过获取系统权限或直接投放恶意负载或后门程序包来进一步篡改代码。软件供应链攻击利用已建立的系统身份验证通道中的漏洞,获得对系统的特权访问,并危及大型网络和数据库。软件供应链基本上是指开发软件产品所涉及的一切,包括所有组件、软件包和代码库。现代软件产品包含许多依赖于其他代码的依赖项,因此找出哪些漏洞会破坏哪些软件产品和工具可能是一项具有挑战性的技术活动。安全软件供应链滞后,安全事故难免发生。由于软件供应链中的安全问题或错误,迄今已发生多起安全事件。例如,2017年的NotPetya和Equifax数据泄露事件影响了数百万用户。这证明了软件供应链攻击的潜在规模及其对恶意网络活动的战略效用。很多时候,公司未能及时披露软件或网络漏洞,将整个客户和合作伙伴生态系统置于风险之中。例如,KingslayerWindows日志管理软件在2017年遭到攻击:中国攻击者针对该WindowsIT管理应用程序注入了带有有效签名的恶意代码。恶意代码可以通过更新或下载应用程序来传播。那次攻击危害了世界各地的许多系统,包括大学、国防公司、政府组织、银行、IT和电信公司以及其他企业。发生这种情况是因为恶意软件安装了一个可以上传和下载文件、执行恶意程序以及运行任意shell命令的辅助包。一家国防承包商在发现其环境中的一款软件正在ping已知为不良IP的IP地址后,意识到了此次攻击。现在,如果警惕的软件供应链安全和治理机制到位,这本可以避免。好消息是,随着DevSecOps和Gitops的进步,这正在成为现实。您应该了解您的软件环境中的一切作为一名开发人员,您应该了解您的环境中有什么,发现任何可能造成安全问题的软件问题(例如许可证问题或依赖漏洞),并尽快修补它们。容器是软件供应链的重要组成部分,使修补变得轻而易举。容器使您可以轻松重建、测试和重新部署到您的环境中,而无需停机。如果公司在这方面积极主动,他们可以通过自动代码扫描和修补来确保容器级别的最佳安全性。当然,很多时候说起来容易做起来难,因为软件管道会变得越来越复杂。但主动修补可以在任何重大数据泄露发生之前及时解决大多数安全问题。大多数开源项目不遵循严格的组织结构,而是依靠自组织和协作方式来推动软件创新和发展。这可能是确保真正安全的软件供应链的主要问题。现在有了GitOps,运营团队不仅可以将基础设施定义为代码,还可以通过提交合并请求来部署和进行更改,人们可以共同审查和批准。在开发应用程序时,GitOps使持续交付服务器上的持续集成无处不在。这有助于在团队构建产品时融入DevSecOps实践。GitHub上用于确保安全软件供应链的工具虽然许多公司使用Github来托管他们的代码,但称为依赖关系图的功能允许扫描、安全分析,包括许可信息和针对易受攻击的依赖关系的安全警报。例如,如果团队添加的新依赖项存在漏洞,或者如果在现有依赖项中发现新漏洞,他们将收到警报并可以修补以解决它。Github还有一个自动化功能,一个名为Dependabot的自动化机器人会向用户发送自动合并请求,以表明他们已经升级到针对易受攻击的依赖项的补丁版本。许多GitHub的企业用户正在使用Dependabot和GitHubDependencyGraph来了解他们正在使用哪些依赖项,存在哪些漏洞,如何修补它们,并恢复到正常的工作模式。用户可以使用Github的语义代码分析引擎CodeQL发现整个代码库中的漏洞,它允许用户像查询数据一样查询代码。原标题:为什么企业需要关注软件供应链安全,作者:VishalChawla
