風(fēng)險(xiǎn)升級！CIO需要更加重視軟件供應(yīng)鏈安全

作者：張?jiān)霰?/a> 2022-11-14 10:17:40

警惕軟件供應(yīng)鏈安全威脅

作者 | Mary Branscombe

譯者 | 張?jiān)霰?/p>

　　超過90%的軟件應(yīng)用程序使用開源組件，與開源軟件相關(guān)的依賴關(guān)系和漏洞極其復(fù)雜。使用開源軟件能夠提高開發(fā)人員的開發(fā)效率，但不意味著更加安全。在數(shù)字化轉(zhuǎn)型加速的當(dāng)下，在推動創(chuàng)新的過程中，開源的復(fù)雜性和開發(fā)速度限制了軟件供應(yīng)鏈安全控制的有效性。

　　軟件供應(yīng)鏈攻擊變得如此普遍，以至于Gartner將其列為2022年的第二大威脅。據(jù)研究預(yù)測，到2025年，全球45%的組織將會遭受一次或多次軟件供應(yīng)鏈攻擊，82%的CIO認(rèn)為他們將更容易受到攻擊。這些攻擊包括通過廣泛使用的軟件組件(如Log4j)中的漏洞進(jìn)行的攻擊，對構(gòu)建管道的攻擊(例如：SolarWinds、Kaseya和Codecov黑客攻擊)，或黑客破壞軟件包存儲庫本身。

　　Cycode首席執(zhí)行官Lior Levy解釋道：“攻擊者已經(jīng)將優(yōu)先級從生產(chǎn)環(huán)境轉(zhuǎn)移到軟件供應(yīng)鏈，因?yàn)檐浖?yīng)鏈?zhǔn)亲畋∪醯沫h(huán)節(jié)。”，“軟件供應(yīng)鏈仍然是相對容易攻擊的目標(biāo)，軟件供應(yīng)鏈攻擊依然會不斷增加。”

　　最近備受矚目的事件給軟件開發(fā)行業(yè)敲響了警鐘，Aqua Security戰(zhàn)略高級副總裁Rani Osnat說。“我們已經(jīng)發(fā)現(xiàn)了幾十年來的不透明和缺乏透明度，這就是為什么它如此重要”。

　　對使用開源代碼的代碼庫的研究表明，漏洞和過時(shí)或廢棄的組件很常見：81%的代碼庫至少有一個(gè)漏洞，50%的代碼庫有多個(gè)高風(fēng)險(xiǎn)漏洞，88%的代碼庫使用的組件不是最新版本或兩年內(nèi)沒有進(jìn)行更新開發(fā)。

　　但是這些問題不太可能削弱開源的普及。當(dāng)LastPass受到攻擊時(shí)，它不會丟失客戶數(shù)據(jù)，但未經(jīng)授權(quán)的一方能夠查看和下載它的部分源代碼，這可能會使將來更容易攻擊密碼管理器的用戶，而Twilio漏洞使攻擊者能夠?qū)ο掠谓M織發(fā)起供應(yīng)鏈攻擊。

警惕“影子代碼”的威脅

　　CIO需要考慮到最糟糕的狀況：假設(shè)所有代碼，無論是內(nèi)部還是外部，甚至他們的開發(fā)人員使用的開發(fā)環(huán)境和工具都已經(jīng)受到破害，從而來制定相應(yīng)的政策來保護(hù)他們的軟件供應(yīng)鏈免受攻擊并將其影響降至最低。

　　事實(shí)上，Osnat建議CIO們像對待影子IT一樣思考“影子代碼”的潛在風(fēng)險(xiǎn)（在沒有 IT 監(jiān)督或安全審查的情況下添加的腳本和庫）。他說：“這不僅僅是一個(gè)安全問題，而是一個(gè)需要你深入考慮如何獲得軟件的問題，無論是開源的還是商業(yè)的：你如何把它引入你的環(huán)境，你如何去更新它，你想要什么樣的控制措施，你想從你的供應(yīng)商那里獲得什么樣的。”

提升透明度：推廣使用軟件物料清單

　　物理供應(yīng)鏈已經(jīng)使用標(biāo)簽、配料表、安全數(shù)據(jù)表和物料清單，因此監(jiān)管機(jī)構(gòu)和消費(fèi)者知道產(chǎn)品最終會出現(xiàn)什么結(jié)果。新計(jì)劃旨在將類似的方法應(yīng)用于軟件，幫助組織了解依賴關(guān)系網(wǎng)絡(luò)及其軟件開發(fā)過程的攻擊面。

　　白宮關(guān)于軟件供應(yīng)鏈安全的第14028號行政命令要求為聯(lián)邦政府提供服務(wù)的軟件供應(yīng)商提供軟件物料清單(SBOM)，并使用軟件工件的供應(yīng)鏈級別(SLSA)安全清單來防止篡改。正因?yàn)槿绱耍拔覀兛吹胶芏嗥髽I(yè)更加認(rèn)真地看待他們的軟件供應(yīng)鏈”，F(xiàn)orrester高級分析師Janet Worthington表示：“現(xiàn)在所有的公司都生產(chǎn)和消費(fèi)軟件，我們看到越來越多的生產(chǎn)商來找我們說，‘如何生產(chǎn)安全的軟件，我可以用軟件物料清單來證明’。”。

　　有許多跨行業(yè)項(xiàng)目，包括NIST的全國供應(yīng)鏈網(wǎng)絡(luò)安全改善計(jì)劃(NIICS)，微軟和其他IETF成員的供應(yīng)鏈完整性，透明度和信任計(jì)劃(SCITT)，以及OpenSSF供應(yīng)鏈完整性工作組。

　　Worthington說:“每個(gè)人都在采取更全面的方法，并說，等一下，我需要知道我將什么帶入我的供應(yīng)鏈，我正在用什么來創(chuàng)建軟件”。

　　Linux基金會最近的一項(xiàng)調(diào)查發(fā)現(xiàn)，采用軟件物料清單的意識很高，目前有47%的IT供應(yīng)商、服務(wù)提供商和受監(jiān)管行業(yè)使用SBOM，88%的人預(yù)計(jì)在2023年使用SBOM。

　　SBOM對于已經(jīng)擁有軟件組件和API資產(chǎn)管理的組織最為有用。Worthington說：“今天擁有強(qiáng)大軟件開發(fā)流程的人們會發(fā)現(xiàn)，插入可以生成軟件物料清單的工具更容易”。

　　SBOM可以由構(gòu)建系統(tǒng)創(chuàng)建，也可以事后由軟件組合分析工具生成。她說，許多工具可以集成到CI/CD管道中，并作為構(gòu)建的一部分運(yùn)行，甚至當(dāng)你移除庫也可以運(yùn)行。“它可以警告你：'嘿，你的管道中有這個(gè)組件，它有一個(gè)關(guān)鍵問題，你想繼續(xù)嗎？'”

　　Chainguard首席執(zhí)行官Dan Lorenc表示：“為了使這一點(diǎn)有用，你需要明確你的開發(fā)團(tuán)隊(duì)如何獲取開源軟件的政策”，“開發(fā)人員如何知道他們公司的政策是什么，什么被認(rèn)為是‘安全的’？他們?nèi)绾沃浪麄冋谫徺I的開放源碼(這是目前開發(fā)人員使用的所有軟件中的絕大多數(shù))確實(shí)沒有受到任何損害？”

　　他指出了JavaScript、Java、Kubernetes和Python用來建立軟件包的開源Sigstore項(xiàng)目。他說：“Sigstore對軟件的完整性就像證書對網(wǎng)站一樣；它們基本上建立了一個(gè)托管鏈和信任驗(yàn)證系統(tǒng)。”

　　Lorenc說：“我認(rèn)為CIO應(yīng)該首先向他們的開發(fā)團(tuán)隊(duì)灌輸這些基本步驟：一是使用新興的行業(yè)標(biāo)準(zhǔn)方法，鎖定構(gòu)建系統(tǒng)；二是創(chuàng)建一種可重復(fù)的方法，在將軟件構(gòu)件引入環(huán)境之前驗(yàn)證其可信性。”

為你使用的開源組件做出貢獻(xiàn)

　　Worthington指出，無論是組件、API還是無服務(wù)器功能，大多數(shù)組織都會低估他們正在使用的功能，除非他們進(jìn)行常規(guī)盤點(diǎn)。她說：“他們發(fā)現(xiàn)其中一些API沒有使用正確的身份驗(yàn)證方法，或者可能沒有按照他們預(yù)期的方式編寫，甚至有些API已經(jīng)被棄用”。

　　除了漏洞之外，評估軟件包背后的社區(qū)支持與了解代碼的作用同樣重要，因?yàn)椴⒎撬芯S護(hù)者都希望將他們的代碼視為關(guān)鍵資源。“并非所有的開源都是一樣的，”她警告說。

　　Worthington表示：“開源可能可以免費(fèi)下載，但使用它肯定不是免費(fèi)的。你對它的使用意味著你有責(zé)任了解它背后的安全態(tài)勢，因?yàn)樗谀愕墓?yīng)鏈中。你需要為它做出貢獻(xiàn)。你的開發(fā)者需要參與修復(fù)漏洞。”，他建議各組織也應(yīng)準(zhǔn)備好以貨幣形式捐款，要么直接向開源項(xiàng)目捐款，要么向其提供資源和資金支持的倡議捐款。“當(dāng)你創(chuàng)建一個(gè)開源策略時(shí)，其中的一部分就是了解預(yù)算和影響。”

　　不要認(rèn)為這僅僅是一筆開支，實(shí)際上這反而是一個(gè)更好地了解你所依賴的組件的機(jī)會。“這甚至有助于留住開發(fā)人員，因?yàn)樗麄儠J(rèn)為自己是社區(qū)的一部分。他們能夠貢獻(xiàn)自己的技能。他們可以在簡歷上使用這一點(diǎn)，”她補(bǔ)充道。

　　請記住，漏洞可以在你的技術(shù)堆棧中的任何位置找到，包括大型機(jī)，這些大型機(jī)越來越多地作為工作負(fù)載的一部分運(yùn)行Linux和開源，但通常缺乏其他環(huán)境中常見的安全流程和框架。

保護(hù)你的軟件交付管道

　　保護(hù)你的軟件交付管道也很重要。NIST的安全軟件開發(fā)框架(SSDF)和SLSA是一個(gè)很好的起點(diǎn)：它涵蓋了各種成熟度級別的絕佳實(shí)踐，從簡單的構(gòu)建系統(tǒng)開始，然后使用日志和元數(shù)據(jù)進(jìn)行審計(jì)和事件響應(yīng)，直到完全安全的構(gòu)建管道。CNCF的軟件供應(yīng)鏈最佳實(shí)踐白皮書、Gartner關(guān)于降低軟件供應(yīng)鏈安全風(fēng)險(xiǎn)的指南以及包括流程和工具的微軟OSS安全供應(yīng)鏈框架也很有幫助。

　　然而，重要的是要注意，僅僅打開旨在查找惡意代碼的自動掃描工具可能會產(chǎn)生太多的誤報(bào)而沒有幫助。盡管BitBucket、GitHub、GitLab等版本控制系統(tǒng)包括安全和訪問保護(hù)功能(包括越來越精細(xì)的訪問策略控制、分支保護(hù)、代碼簽名、要求所有貢獻(xiàn)者使用MFA以及掃描機(jī)密和憑據(jù))，但它們通常必須顯式啟用。

　　此外，諸如可重復(fù)安全創(chuàng)建工件工廠(FRSCA)之類的項(xiàng)目旨在通過在單個(gè)堆棧中實(shí)現(xiàn)SLSA來保護(hù)構(gòu)建管道，但CIO應(yīng)該期望構(gòu)建系統(tǒng)將來包含更多這些實(shí)踐。

　　事實(shí)上，雖然SBOM只是答案的一部分，但創(chuàng)建和使用它們的工具也在不斷成熟，請求和使用它們也在不斷完善。Worthington建議，合同不僅需要指定你想要的SBOM，還需要指定你希望它們更新的頻率，以及它們是否包括漏洞報(bào)告和通知。“如果發(fā)現(xiàn)像Log4j這樣的新的重要漏洞，供應(yīng)商會告訴我嗎，還是我必須在SBOM中搜索自己，看看我是否受到影響？”

　　組織還需要工具來閱讀SBOM，并制定流程來對這些工具的發(fā)現(xiàn)采取行動。Worthington說：“我需要一個(gè)工具，它可以告訴我（SBOM）已知的漏洞是什么，許可證的影響是什么，以及這種情況是否會持續(xù)發(fā)生。”

　　CIO們應(yīng)該記住，SBOM“是一個(gè)推動者，但實(shí)際上并不能解決任何問題，確保供應(yīng)鏈的安全。它可以幫助你應(yīng)對可能發(fā)生的事件”，Osnat說，他對行業(yè)響應(yīng)速度以及圍繞SBOM標(biāo)準(zhǔn)和代碼認(rèn)證進(jìn)行的廣泛合作持樂觀態(tài)度，這將有助于使工具互操作（這是Linux基金會研究中組織提出的一個(gè)特別關(guān)注的問題）。這可能會導(dǎo)致整個(gè)行業(yè)的透明度和報(bào)告標(biāo)準(zhǔn)得到與SOC 2相同的改進(jìn)。

　　Osnat表示，盡管如此，CIO們不必等待新的標(biāo)準(zhǔn)或工具來開始讓安全成為開發(fā)人員角色的一部分，因?yàn)榻陙碣|(zhì)量已經(jīng)成為了一部分。他的建議是：“首先讓你的CISO和首席工程師坐在一個(gè)房間里，找出適合你的組織的模式，以及如何實(shí)現(xiàn)轉(zhuǎn)型。”

原文鏈接：

??https://www.cio.com/article/410904/the-new-cio-security-priority-your-software-supply-chain.html??