聚焦源代码安全,网罗国内外最新资讯!
数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。
随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。近年来,针对软件供应链的安全攻击事件一直呈快速增长态势,造成的危害也越来越严重。
为此,我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯,分析供应链安全风险,提供缓解建议,为供应链安全保驾护航。
注:以往发布的部分供应链安全相关内容,请见文末“推荐阅读”部分。
软件供应链指的是开源和第三方软件的互联生态系统,开源软件和第三方软件都有自己的依赖,可能会触发更多组件的下载。为这些组件和库做出贡献的开发人员,可能会通过错误或恶意活动,引入危险的漏洞。
当恶意代码进入软件供应链之后,可能造成非常严重的后果,正如该论文题目《关闭链条:如何降低成为下一个SolarWinds、Log4j或XZ Utils 的风险》中所提到的这些近期发生的重大事件。
论文提到,组织机构难以从市场上琳琅满目的供应链防御工具中挑选合适的工具。当然,具有安全意识的编程人员会收到很多建议。比如,美国国家标准和技术局 (NIST) 提供了“软件安全开发框架 (SSDF)”和“网络安全供应链风险管理实践”指南,而CISA也已开发了一个“自我认证”表单。开源安全基金会 (OpenSSF) 开发了一份软件安全积分卡。云原生计算基金会提供了“OWASP 软件组件验证标准” 和一个供应链安全框架 (S2C2F)。追随以上所发布的框架标准都已经让人力不从心了,何况还需遵循从10个不同框架中浓缩的73项供应链安全任务的“主动软件供应链风险管理(P-SSCRM)”框架,更让人气馁。
简言之,有很多建议在等着尝试改进软件供应链安全态势的组织机构。为此,论文基于对多种软件供应链安全框架的分析,对缓解任务进行了排序。
研究人员查看分析了106份针对 SolarWinds、Log4j和 XZ Utils 攻击的事件报告,并映射了针对203种 MITRE 攻击技术的敌对事件。之后,他们引用了多种缓解框架的推荐建议。论文解释称,“比如,一项敌对事件是,当‘APT 29组织(敌对势力)能够通过将恶意软件注入 SolarWinds Orion 软件生命周期的方法,使 SUNBURST 获得 SolarWinds 代码签名证书的签名’,它被映射到破坏信任控制 (T1553),发生在依赖中,并在 Sunburst 引入阶段完成。”
研究人员还为尝试协调多种供应链安全框架建议的组织机构开发出初始套件。他们表示,“五大初始套件任务是:基于角色的访问控制 (E.3.3)、系统监控 (D.2.1)、边界防护 (E.3.7)、配置设置变化监控 (E.3.6) 以及环境扫描工具 (E.3.11)。”他们提到,其中四个适用于软件开发环境。
研究人员还发现,P-SSCRM和其它集成该框架缺少其中的三项任务。论文提到,“因此,即使组织机构部署了所有推荐任务,它们仍然易受软件供应链攻击。”
为了解决这个问题,他们为这些偏差创建了标识符,寄望于扩展供应链框架的覆盖范围,包括:
-
可持续的开源软件 (G.5.5):组织机构必须在支持开源安全方面承担更多责任。
-
环境扫描工具 (E.3.11):本地开发环境中的自动化扫描工具需要在异常出现之前捕获它们。
-
响应合作伙伴 (D.1.7):需设立合作型伙伴关系,提升安全响应并减少敌对方造成的损害。
这些偏差已获得P-SSCRM 作者的确认,并将在未来版本发布中将它们纳入其中。
原文始发于微信公众号(代码卫士):太多软件供应链防御指南看不过来?专家提炼出三大要点
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论