[[345173]]

【51CTO.com快譯】攻擊者闖入并篡改復雜軟件開發供應鏈中的軟件，通過注入惡意代碼來威脅供應鏈遠端的目標時，就會發生軟件供應鏈攻擊。這些注入的惡意代碼可用于通過獲取系統權限或直接投放惡意有效載荷或后門程序包，進一步篡改代碼。軟件供應鏈攻擊利用已建立的系統驗證渠道的漏洞，獲得系統的特權訪問，并破壞大型網絡和數據庫。

軟件供應鏈基本上是指開發軟件產品所涉及的一切，包括所有組件、軟件包和代碼庫。現代軟件產品包含依靠其他代碼的大量依賴項，因此查明哪些漏洞破壞哪些軟件產品和工具可能是一項頗具挑戰性的技術活。

安全軟件供應鏈有滯后，安全事件難免會發生

由于軟件供應鏈安全方面的問題或錯誤，迄今為止發生過多起安全行為。比如說，2017年的NotPetya和Equifax數據泄密事件影響了數百萬用戶。這表明了軟件供應鏈攻擊的潛在規模及其對惡意網絡活動的戰略實用性。

很多時候，公司也不及時披露軟件或網絡遭到了破壞，從而使整個客戶和合作伙伴生態系統岌岌可危。比如2017年Kingslayer Windows日志管理軟件遭到攻擊事件：中國攻擊者盯上了這款Windows IT管理應用程序，注入了有效簽名的惡意代碼，惡意代碼可以通過更新或下載該應用程序進行傳播。那次攻擊破壞了全球各地的諸多系統，包括大學、國防企業、政府組織、銀行、IT及電信公司以及其他企業。

之所以發生這種情況，是由于該惡意軟件安裝了一個輔助軟件包，該軟件包可以上傳和下載文件，執行惡意程序，并運行任意的外殼命令。一家國防承包商在其環境中發現一款軟件在ping已知是不良IP的IP地址后，察覺了這起攻擊。現在，如果警惕的軟件供應鏈安全和管理機制部署到位，本可以避免這種情況。好消息是，隨著DevSecOps和Gitops方面取得進展，這成為了現實。

您應了解軟件環境中的一切

作為開發人員，您應了解自身環境中的內容，發現可能帶來安全問題(比如許可證問題或依賴項漏洞)的任何軟件問題，并盡快打上補丁。容器是軟件供應鏈中必不可少的一部分，使補丁工作變得很順暢。容器讓您可以輕松重新構建、測試并重新部署到您的環境中，沒有任何停機時間。

如果公司在這方面積極主動，可以借助自動代碼掃描和補丁確保容器層面的最佳安全。當然，很多時候說起來容易做起來難，因為軟件管道會逐漸變得很復雜。但主動打補丁可以在任何重大數據泄露發生之前及時解決大多數安全問題。

大多數開源項目并不遵循嚴格的組織結構，而是依靠自我組織和協作方法來推動軟件創新和發展。這可能是確保真正的軟件安全供應鏈面臨的主要問題。

現在有了GitOps，運營團隊不僅可以將基礎架構定義為代碼，還可以通過提交人們可共同審核和批準的合并請求進行部署和更改。開發應用程序時，GitOps使得在持續交付服務器上進行持續集成變得無處不在。團隊致力于構建產品時，這有助于融入DevSecOps實踐。

GitHub上確保安全軟件供應鏈的工具

雖然許多公司使用Github來托管代碼，但是有一項名為依賴關系圖(dependency graph)的功能可以進行掃描、進行安全分析，包括許可證方面的信息和針對易受攻擊的依賴項的安全警報。比如說，如果團隊添加的一個新依賴項有漏洞，或者在現有的依賴項中發現了一個新漏洞，他們會收到警報，可以通過打補丁來解決。

Github還有一項自動功能，一個名為Dependabot的自動機器人向用戶發送自動合并請求，以表明用戶已針對易受攻擊的依賴項升級到了補丁版本。Github的許多企業用戶都在使用Dependabot和GitHub依賴關系圖來了解它們在使用哪些依賴項、存在的漏洞、如何打補丁以及回到正常工作模式。用戶可以使用Github的語義代碼分析引擎CodeQL發現整個代碼庫中的漏洞，該引擎使用戶可以像查詢數據那樣查詢代碼。

原文標題：Why Companies Need To Pay Attention To Software Supply Chain Security，作者：Vishal Chawla

【51CTO譯稿，合作站點轉載請注明原文譯者和出處為51CTO.com】