Aqua Security 报告:供应链攻击大幅增加,软件开发环境的安全水平仍然很低

2022 年 2 月 11 日 InfoQ

作者 | Tina

Aqua Security 最近发布了一份供应链安全报告。该报告指出,从 2020 年到 2021 年,供应链攻击增长了 300%,软件开发环境的安全水平仍然很低。在供应链攻击威胁日益增加的情况下,谷歌和云原生计算基金会 (CNCF) 也相继发布论文详细介绍提高供应链安全性的方法。

这份报告由 Aqua Security 旗下的供应链安全公司 Argon Security 编写。Aqua Security 总共历时六个月,调查了许多客户的供应链,确定了企业应该重点关注的三个风险领域。

第一个是使用易受攻击的软件包。该报告指出几乎所有商业软件中都会使用开源代码,这些代码可能含有漏洞,需要不断投入时间和精力来进行软件更新。主要有两种利用方式:利用现有漏洞和通过中毒的软件包(package poisoning)。最近的 Log4j 漏洞的例子属于前者,而 ua-parser.js 包的入侵则属于后面这种情况。

第二个是通过一些受损的管道工具。Codecov 供应链漏洞就是一个例子。攻击者通过一个 Docker 映像破坏了 Codecov bash uploader,从而能够从 CI 过程中提取环境变量,进而暴露 Codecov 客户的敏感数据。

第三个与代码和工件完整性有关,包括将不良或敏感代码上传到源代码存储库。该团队在调查的客户环境中发现了许多问题,包括容器映像漏洞、将敏感数据发布到代码存储库以及代码质量问题。

该研究指出,大多数团队缺乏资源来应对这些挑战。Argon Security 首席营收官 Eran Orzel 说:“大多数 AppSec 团队缺乏充分应对供应链攻击风险的资源、预算和知识。由于需要开发人员和 DevOps 团队的合作,这就将问题进一步复杂化了。”

谷歌和云原生计算基金会 (CNCF) 都发布了帮助提高软件包完整性的指南。谷歌的软件工件供应链级别 (SLSA) 框架建立在 Borg 的二进制授权基础之上。它声明所有软件工件都应该是非统一的和可审计的。如果怀疑有攻击发生,理想情况下的自动化审计有助于调查。CNCF 的论文《软件供应链安全最佳实践》定义了供应链安全的四个关键原则:信任、自动化、清晰度和相互身份验证:每个步骤都必须是可信任的,使用自动化可以减少人为错误和配置漂移,应明确定义构建过程和环境,使用定期密钥轮换强化认证机制。

点击底部阅读原文访问 InfoQ 官网,获取更多精彩内容!

今日好文推荐

40岁从零开始学习软件开发,四年后我成了首席研发

75%新项目都可以“无脑”选择单体架构

InfoQ 最新 Java 发展趋势报告

AlphaCode编程比赛击败一半程序员;微信超1亿人视频号看春晚,6.6亿人抢红包;Flutter 2.10发布 | Q资讯

点个在看少个 bug 👇

登录查看更多
0

相关内容

开发环境是指在基本硬件和数字软件的基础上,为支持系统软件和应用软件的工程化开发和维护而使用的一组软件,简称SDE。
北约《军事系统的网络安全风险评估》技术报告
专知会员服务
98+阅读 · 2022年4月18日
《中国信息消费发展态势报告》(2022年),41页pdf
专知会员服务
28+阅读 · 2022年3月20日
【AI+医疗健康】美国数字健康战略(附44页最新报告)
专知会员服务
90+阅读 · 2022年3月15日
2021年中国云原生AI开发平台白皮书
专知会员服务
54+阅读 · 2021年12月4日
专知会员服务
48+阅读 · 2021年5月24日
Gartner:2020年十大战略性技术趋势, 47页pdf
专知会员服务
76+阅读 · 2020年3月10日
Go 如何减少供应链攻击?
AI前线
0+阅读 · 2022年4月13日
如何保护你的开源项目免遭供应链攻击
InfoQ
0+阅读 · 2022年4月5日
肖新光建议:加强IT供应链网络安全能力
CCF计算机安全专委会
1+阅读 · 2022年3月7日
VMware:“Linux恶意软件呈上升趋势”
CSDN
0+阅读 · 2022年2月16日
Kubernetes 安全指南
InfoQ
2+阅读 · 2021年12月24日
国家自然科学基金
5+阅读 · 2017年12月31日
国家自然科学基金
1+阅读 · 2014年12月31日
国家自然科学基金
0+阅读 · 2013年12月31日
国家自然科学基金
0+阅读 · 2013年12月31日
国家自然科学基金
1+阅读 · 2012年12月31日
国家自然科学基金
1+阅读 · 2012年12月31日
国家自然科学基金
2+阅读 · 2012年12月31日
国家自然科学基金
0+阅读 · 2011年12月31日
国家自然科学基金
0+阅读 · 2011年12月31日
国家自然科学基金
0+阅读 · 2009年12月31日
Arxiv
0+阅读 · 2022年4月20日
Arxiv
0+阅读 · 2022年4月19日
Towards PAC Multi-Object Detection and Tracking
Arxiv
0+阅读 · 2022年4月15日
Neural Architecture Search without Training
Arxiv
10+阅读 · 2021年6月11日
VIP会员
相关资讯
Go 如何减少供应链攻击?
AI前线
0+阅读 · 2022年4月13日
如何保护你的开源项目免遭供应链攻击
InfoQ
0+阅读 · 2022年4月5日
肖新光建议:加强IT供应链网络安全能力
CCF计算机安全专委会
1+阅读 · 2022年3月7日
VMware:“Linux恶意软件呈上升趋势”
CSDN
0+阅读 · 2022年2月16日
Kubernetes 安全指南
InfoQ
2+阅读 · 2021年12月24日
相关基金
国家自然科学基金
5+阅读 · 2017年12月31日
国家自然科学基金
1+阅读 · 2014年12月31日
国家自然科学基金
0+阅读 · 2013年12月31日
国家自然科学基金
0+阅读 · 2013年12月31日
国家自然科学基金
1+阅读 · 2012年12月31日
国家自然科学基金
1+阅读 · 2012年12月31日
国家自然科学基金
2+阅读 · 2012年12月31日
国家自然科学基金
0+阅读 · 2011年12月31日
国家自然科学基金
0+阅读 · 2011年12月31日
国家自然科学基金
0+阅读 · 2009年12月31日
Top
微信扫码咨询专知VIP会员