如今，軟件供應(yīng)鏈攻擊已經(jīng)變得非常普遍，研究公司Gartner甚至將其列為“2022年第二大威脅”。Gartner預(yù)測(cè)，到2025年，全球45%的企業(yè)將經(jīng)歷一次或多次軟件供應(yīng)鏈攻擊——82%的首席信息官認(rèn)為他們將很容易受到此類攻擊影響。這包括通過(guò)廣泛使用的軟件組件(如Log4j)中的漏洞進(jìn)行的攻擊，針對(duì)構(gòu)建管道的攻擊(c.f.、SolarWinds、Kaseya和Codecov黑客攻擊)，或者攻擊破壞包存儲(chǔ)庫(kù)本身。

Cycode的首席執(zhí)行官Lior Levy解釋道，“攻擊者已經(jīng)把重點(diǎn)從生產(chǎn)環(huán)境轉(zhuǎn)移到軟件供應(yīng)鏈，因?yàn)檐浖?yīng)鏈?zhǔn)亲畋∪醯沫h(huán)節(jié)。只要軟件供應(yīng)鏈仍然是相對(duì)容易被攻擊的目標(biāo)，軟件供應(yīng)鏈攻擊就會(huì)不斷增加。”

Aqua Security公司負(fù)責(zé)戰(zhàn)略的高級(jí)副總裁Rani Osnat表示，最近備受關(guān)注的事件為軟件開(kāi)發(fā)行業(yè)敲響了警鐘。它向我們揭露了該行業(yè)幾十年來(lái)存在的不透明或缺乏透明度問(wèn)題，這無(wú)疑是一件值得關(guān)注的大事。

針對(duì)使用開(kāi)放源代碼的代碼庫(kù)的研究表明，漏洞和過(guò)時(shí)或廢棄的組件是十分常見(jiàn)的：81%的代碼庫(kù)至少有一個(gè)漏洞;50%有一個(gè)以上的高風(fēng)險(xiǎn)漏洞;88%使用的組件并非最新版本或在兩年內(nèi)沒(méi)有新的開(kāi)發(fā)程序。

不過(guò)，這些問(wèn)題不太可能削弱開(kāi)源的流行——商業(yè)軟件和服務(wù)也很脆弱。當(dāng)LastPass受到攻擊時(shí)，它并沒(méi)有丟失客戶數(shù)據(jù)，但未經(jīng)授權(quán)的一方能夠查看和下載它的一些源代碼，這可能使它更容易在未來(lái)攻擊密碼管理器的用戶，而Twilio漏洞使攻擊者能夠?qū)ο掠纹髽I(yè)發(fā)起供應(yīng)鏈攻擊。

“影子代碼”威脅

就像安全團(tuán)隊(duì)在“假設(shè)網(wǎng)絡(luò)已被攻破”的情況下實(shí)施保護(hù)一樣，CIO也必須假設(shè)所有的代碼(內(nèi)部和/或外部的)甚至開(kāi)發(fā)人員使用的開(kāi)發(fā)環(huán)境和工具都已經(jīng)被攻破，并制定相應(yīng)的策略來(lái)防止和最小化對(duì)其軟件供應(yīng)鏈的攻擊影響。

事實(shí)上，Osnat建議CEO應(yīng)該用對(duì)待“影子IT”的方式來(lái)看待這種“影子代碼”。他認(rèn)為，“這不僅僅是一個(gè)安全問(wèn)題，而且是真正深入到你如何獲得軟件(無(wú)論它是開(kāi)源的還是商業(yè)的)的問(wèn)題：你如何把它帶到你的環(huán)境中?你如何更新它?你想要有什么樣的控制措施?你想要從你的供應(yīng)商那里要求什么樣的控制措施等?”

透明度：面向軟件材料清單(SBOM)

實(shí)體供應(yīng)鏈已經(jīng)使用標(biāo)簽、成分表、安全數(shù)據(jù)表和材料清單，以便監(jiān)管機(jī)構(gòu)和消費(fèi)者了解產(chǎn)品的最終組成部分。新的計(jì)劃旨在將類似的方法應(yīng)用到軟件中，以幫助企業(yè)理解其軟件開(kāi)發(fā)過(guò)程的依賴項(xiàng)網(wǎng)絡(luò)和攻擊面。

白宮關(guān)于軟件供應(yīng)鏈安全的《14028號(hào)行政命令》要求為聯(lián)邦政府供貨的軟件供應(yīng)商提供軟件材料清單(SBOM)，并使用軟件工件(SLSA)的供應(yīng)鏈級(jí)別安全檢查表，以防止篡改。正因?yàn)槿绱?，F(xiàn)orrester高級(jí)分析師Janet Worthington表示，“我們看到許多企業(yè)更加認(rèn)真地看待他們的軟件供應(yīng)鏈。如今所有的公司都在生產(chǎn)和消費(fèi)軟件，我們看到越來(lái)越多的生產(chǎn)商來(lái)找我們，問(wèn)我們，‘我怎樣才能生產(chǎn)出安全的軟件，并使用軟件材料清單來(lái)證明。’”

除此之外，還有許多跨行業(yè)的項(xiàng)目，包括NIST的改善供應(yīng)鏈網(wǎng)絡(luò)安全國(guó)家倡議(NIICS)，來(lái)自微軟和其他IETF成員的供應(yīng)鏈完整性、透明度和信任倡議(SCITT)，以及OpenSSF供應(yīng)鏈完整性工作組。

Worthington表示，“如今，每個(gè)人都在采取一種更全面的方法，他們會(huì)說(shuō)，‘等一下，我需要知道我要把什么東西帶進(jìn)我的供應(yīng)鏈?！?/p>

Linux基金會(huì)最近的一項(xiàng)調(diào)查發(fā)現(xiàn)，SBOM的認(rèn)知度很高，47%的IT供應(yīng)商、服務(wù)提供商和受監(jiān)管的行業(yè)目前使用SBOM;88%的人預(yù)計(jì)在2023年使用SBOM。

Worthington補(bǔ)充道，SBOM對(duì)于已經(jīng)擁有軟件組件和API資產(chǎn)管理的企業(yè)來(lái)說(shuō)是最有用的。如今，擁有強(qiáng)大軟件開(kāi)發(fā)流程的人已經(jīng)發(fā)現(xiàn)，插入能夠生成軟件材料清單的工具更容易。

SBOM可以由構(gòu)建系統(tǒng)創(chuàng)建，也可以由軟件組合分析工具在事后生成。許多工具可以集成到CI/CD管道中，并作為構(gòu)建的一部分運(yùn)行，甚至當(dāng)你下拉庫(kù)時(shí)也可以運(yùn)行。它可以警告你：“嘿，你的管道中有這個(gè)組件，它有一個(gè)關(guān)鍵問(wèn)題，你想繼續(xù)嗎?”

Chainguard首席執(zhí)行官Dan Lorenc表示，要讓這種做法發(fā)揮作用，就需要明確開(kāi)發(fā)團(tuán)隊(duì)如何獲取開(kāi)源軟件的政策。開(kāi)發(fā)人員如何知道他們公司的“安全”政策是什么?他們?nèi)绾沃浪麄冋谫?gòu)買的開(kāi)源軟件(這些軟件構(gòu)成了目前開(kāi)發(fā)人員使用的絕大多數(shù)軟件)確實(shí)沒(méi)有被篡改?

他提到了開(kāi)源的Sigstore項(xiàng)目，JavaScript、Java、Kubernetes和Python都使用這個(gè)項(xiàng)目來(lái)建立軟件包的來(lái)源。他表示，“Sigstore之于軟件完整性，就像證書(shū)之于網(wǎng)站;他們基本上建立了一個(gè)監(jiān)管鏈和信任驗(yàn)證系統(tǒng)?！?/p>

Lorenc建議稱，CIO應(yīng)該首先向他們的開(kāi)發(fā)團(tuán)隊(duì)灌輸這些基本步驟，一是使用新興的行業(yè)標(biāo)準(zhǔn)方法，鎖定構(gòu)建系統(tǒng);二是在將軟件工件引入環(huán)境之前創(chuàng)建一種可重復(fù)的方法來(lái)驗(yàn)證軟件工件的可信性。

資金預(yù)算

Worthington指出，無(wú)論是組件、API還是無(wú)服務(wù)器功能，大多數(shù)企業(yè)都低估了他們正在使用的東西的數(shù)量級(jí)，除非他們進(jìn)行例行盤點(diǎn)。他們會(huì)發(fā)現(xiàn)一些API沒(méi)有使用適當(dāng)?shù)恼J(rèn)證方法，或者可能沒(méi)有按照他們預(yù)期的方式編寫，甚至可能有些API已經(jīng)被棄用。

除了漏洞之外，評(píng)估軟件包背后的支持社區(qū)與理解代碼的功能同樣重要，因?yàn)椴⒎撬械木S護(hù)人員都希望自己的代碼被視為關(guān)鍵資源。

Worthington解釋稱，“開(kāi)源軟件可以免費(fèi)下載，但它的使用當(dāng)然不是免費(fèi)的。你使用它意味著你有責(zé)任了解它背后的安全態(tài)勢(shì)，因?yàn)樗谀愕墓?yīng)鏈中。你需要回饋它。你的開(kāi)發(fā)人員需要參與修補(bǔ)漏洞。因此，建議企業(yè)應(yīng)該準(zhǔn)備好提供資金，要么直接給開(kāi)源項(xiàng)目，要么用資源和資金支持他們的計(jì)劃。當(dāng)你制定一個(gè)開(kāi)源戰(zhàn)略時(shí)，其中的一部分是了解預(yù)算和影響?！?/p>

不要將這視為一筆開(kāi)銷，而是一個(gè)更好地理解你所依賴的組件的機(jī)會(huì)。它甚至有助于留住開(kāi)發(fā)者，因?yàn)樗麄冇X(jué)得自己是社區(qū)的一部分。他們能夠貢獻(xiàn)自己的技能。他們可以在簡(jiǎn)歷上用到這一點(diǎn)。

請(qǐng)記住，漏洞可以在你技術(shù)堆棧的任何地方找到，包括大型機(jī)，它們?cè)絹?lái)越多地運(yùn)行Linux和開(kāi)源作為工作負(fù)載的一部分，但通常缺乏在其他環(huán)境中已變得常見(jiàn)的安全流程和框架。

保護(hù)你的管道

保護(hù)你的軟件交付管道也很重要。NIST的安全軟件開(kāi)發(fā)框架(SSDF)和SLSA就是一個(gè)很好的起點(diǎn)：它涵蓋了不同成熟度級(jí)別的最佳實(shí)踐，從一個(gè)簡(jiǎn)單的構(gòu)建系統(tǒng)開(kāi)始，然后使用日志和元數(shù)據(jù)進(jìn)行審計(jì)和事件響應(yīng)，直到一個(gè)完全安全的構(gòu)建管道。此外，CNCF的軟件供應(yīng)鏈最佳實(shí)踐白皮書(shū)、Gartner關(guān)于減少軟件供應(yīng)鏈安全風(fēng)險(xiǎn)的指南以及微軟的OSS安全供應(yīng)鏈框架(包括過(guò)程和工具)也很有幫助。

然而，需要注意的是，簡(jiǎn)單地打開(kāi)旨在發(fā)現(xiàn)惡意代碼的自動(dòng)掃描工具可能會(huì)產(chǎn)生太多的誤報(bào)，從而無(wú)法提供真正地幫助。盡管像BitBucket、GitHub、GitLab等版本控制系統(tǒng)包括安全和訪問(wèn)保護(hù)功能(包括越來(lái)越細(xì)粒度的訪問(wèn)策略控制、分支保護(hù)、代碼簽名、要求所有貢獻(xiàn)者使用MFA以及掃描秘密和憑證)，但它們通常必須顯式啟用(explicitly enabled)。

此外，像“可重復(fù)安全創(chuàng)建工件工廠”(Factory for Repeatable Secure Creation of Artifacts，F(xiàn)RSCA)這樣旨在通過(guò)在單個(gè)堆棧中實(shí)現(xiàn)SLSA來(lái)保護(hù)構(gòu)建管道的項(xiàng)目，還沒(méi)有準(zhǔn)備好投入生產(chǎn)，但CIO應(yīng)該期望構(gòu)建系統(tǒng)在未來(lái)包含更多這樣的實(shí)踐。

實(shí)際上，雖然SBOM只是解決問(wèn)題的一部分，但是創(chuàng)建和使用它們的工具也在不斷成熟，請(qǐng)求和使用它們的過(guò)程也是如此。Worthington建議，合同不僅需要明確你想要SBOM，還需要明確你希望它們多長(zhǎng)時(shí)間更新一次，以及它們是否將包括漏洞報(bào)告和通知。例如，如果發(fā)現(xiàn)像Log4j這樣的新的重要漏洞，供應(yīng)商會(huì)告訴我嗎?還是我必須在SBOM中搜索，看看是否受到了影響?

企業(yè)還需要工具來(lái)讀取SBOM，并制定流程來(lái)對(duì)這些工具發(fā)現(xiàn)的內(nèi)容采取行動(dòng)。Worthington表示，“我需要一種工具，它能告訴我SBOM中已知的漏洞是什么，許可證的影響是什么，以及這種情況是否持續(xù)發(fā)生?！?/p>

Osnat補(bǔ)充道，CIO應(yīng)該記住，SBOM只是一個(gè)使能者(enabler)，實(shí)際上并不能解決任何問(wèn)題，以確保你的供應(yīng)鏈安全。它只能幫助你應(yīng)對(duì)可能發(fā)生的事件。不過(guò)，Osnat對(duì)行業(yè)響應(yīng)的速度和圍繞SBOM標(biāo)準(zhǔn)及代碼認(rèn)證正在進(jìn)行的廣泛合作持樂(lè)觀態(tài)度，他認(rèn)為這將有助于使工具更具互操作性，進(jìn)而改善整個(gè)行業(yè)的透明度和報(bào)告標(biāo)準(zhǔn)化，就像SOC 2所帶來(lái)的結(jié)果一樣。

Osnat表示，盡管如此，CIO并不需要等到新的標(biāo)準(zhǔn)或工具才開(kāi)始讓安全成為開(kāi)發(fā)人員的一部分。CIO應(yīng)該先和首席工程師們溝通，找出適合企業(yè)的正確模式，并仔細(xì)研究如何實(shí)踐這種變革以及變革可能帶來(lái)的影響。