功守道•软件供应链安全大赛开战！

2018 年 5 月 15 日 阿里聚安全 阿里安全响应中心

5月12日下午13时，紧锣密鼓筹备数月的攻守道·软件供应链大赛终于拉开序幕，首场测试赛吸引了包括来自北京大学软件工程国家工程研究中心、清华大学、香港科技大学、中科院信工所、FlappyPig、北邮天枢等多家知名高校和企业的安全团队报名参加。

在6小时的鏖战中，攻守双方选手就66个C语言开源工程载体和软件供应链安全风险点展开了激烈的斗智斗勇，最终共计62个安全风险点被防守方以自动化方式正确识别。比赛结束后，主办方邮件反馈了每队的正确答案和测试赛得分，以供选手进一步优化工具，备战即将到来的C源代码专题正式赛。

0x00 引子

安全行业向来讲究江湖风范，武功高者或攻城略地或华山论剑，有没有武林盟主之位倒还次要，这份“黑阔”的自尊是少不得的。而自家后院失火，残忍揭示其对拿手兵刃并未完全掌控，则是对这尊严的致命一击。

在高校与研究院所，也有广泛的安全学术“名门正派”一直在进行着全方位的基础研究，只不过相较于圈内层出不穷抓人眼球的安全事件、黑客炫技，门生的苦苦修炼往往难得赞许，似乎总蹚不进业界刀光剑影的池中。

软件供应链安全大赛，就是这样一个让所有从业者一道，重新审视我们自己的战场环境，在被人摆一道之前先破除再重建自信，并解放研究者功力的机会。如今，这个比赛刚刚击鼓，启动面向企业基础设施的“C源代码”赛季。

0x01 比赛全局闪回

软件供应链安全本是一个缥缈的概念，仅从近两年的若干看似独立的事件中，大家才似乎嗅到一点气味：XCodeGhost、XShell污染、CCleaner污染、pypi投毒等等。看似背后攻击者一时兴起的尝试行为，最终被行业发展规律证明：今天一个人无意间揭示了一个可能的新型攻击面，明天它就可能被破开成为一个新战场，你的意识决定你站在哪里。

结合阿里巴巴为代表的典型互联网企业的软件供应链环境与实践，我们尝试将这混沌的庞大命题，划分为“软件供应链生产者”与“软件供应链消费者”的两仪乾坤，并抽象出“四象”战场：C源代码，Java源代码，PE二进制，APK二进制。

比赛全程强调攻防对抗情态，阿里巴巴集团安全部联合中国信息产业商会信息安全分会、SecZone、百度安全、安天实验室等作为组织方，持中立立场、设计对抗形式和战局均衡，力求打造一场为期6个月的对抗升级大赛。

0x02 C源代码赛季设计

本赛季，我们将来审视互联网企业赖以生存的基础软件系统设施安全。

在传统围绕“入侵-反入侵”展开的企业环境加固中，系统隔离和监控为本，及时漏洞响应修复为术；系统与基础开源软件组件、第三方开源应用或组件，往往被默认为是可信的，顶多存在程序不可避免的bug和漏洞。但通过软件供应链路的污染，下面的场景绝非虚幻，也许并未发生过，但只需点出，敏感的安全从业者自会发现，这些事情完全有可能存在——如果还不是已经存在了的话：

针对生产环境，某基础软件当中被引入恶意代码，存在抓取系统敏感信息并泄漏、注入特权账户，或者面向web服务器环境插入webshell，或者从数据存储、缓存服务中偷取敏感企业存储数据，或者偷换用于加密认证的中间件留下后门，或者干扰作为云服务的基础设施；

针对开发环境，某由开发者引入的随意渠道的开发辅助工具，存在本地源代码遍历甚至加密勒索的行为，或者针对代码仓库服务实施悄然的元数据拖取，或者针对代码审查与缺陷管理平台泄漏产品过程中缺陷信息，或者在持续构建、集成、发布、部署的全链路针对对应后台服务做窃取甚至偷天换日。

在以上的假定目标应用环境基础上，我们划定了几大类潜在可能的“恶意行为”，包括敏感信息异常采集、关键数据篡改、不可信数据传入/传出渠道、典型木马后门与破坏行为等，包含二十余类细分项；作为首次对这一问题域的定义，我们结合与高校、同行的前期探讨探索，详细对所有细分项进行了刻画，并针对在比赛中可进行难度区分与可考察的两方面考量，分别按照单点、二阶段和复合恶意行为对上述细分项做了明确分类，难度递进，分别在三轮分站赛中进行考察。