为了了解软件供应链安全,首先需要定义软件供应链本身。软件供应链是在整个软件开发生命周期 (SDLC) 中涉及应用程序或以任何方式在其开发中发挥作用的任何事和物。软件供应链安全是保护软件创建和部署中所涉及的组件、活动和实践的行为。其包括第三方和私有代码、部署方法和基础设施、接口和协议以及开发人员实践和开发工具。组织负责执行这些安全活动,并向消费者提供其安全工作的证明。
为了应对软件开发组织采取更多步骤来保护其应用程序的安全,攻击者不得不使自己的方法更有“创意”。代码重用和云原生方法的急剧而持续的增长,为他们提供了额外的角度来发动与他们意向目标稍微偏离的攻击。仅仅利用一个弱点就为威胁行动者打开了通往供应链的大门,他们能窃取敏感数据、植入恶意软件并控制系统——最近我们看到了很多这样的例子。
鉴于安全漏洞不断增加,拜登总统发布了一项行政命令,指示多个联邦组织的负责人围绕他们使用和操作的软件制定额外的安全指南。该命令旨在增强美国的网络安全状况,促使在全国范围内重新审查远远超出联邦层面规定的组织安全实践。
了解如何识别软件供应链中的弱点,以及解决这些弱点所需的工具和实践。
Solar Winds 是一家美国大型 IT 公司,近期成为供应链的受害者。一位前实习生的信息安全实践经验不足,暴露了一个关键的内部密码 (solarwinds123)。密码被泄露后,可疑的俄罗斯黑客便能访问 SolarWinds 用来对其旗舰产品之一 Orion 的更新进行组装的系统。从这里开始,攻击者将恶意代码插入原本合法的软件更新中,让它们能监控和识别 Orion 编译中涉及的运行进程,并替换源文件以包含 SUNBURST 恶意软件。估计有 18,000 名客户部署了 Orion 更新,SUNBURST 将信息发回给攻击者,这些信息被用来识别其它恶意软件、扩大的访问范围和进行间谍活动的目标。攻击的预期目标和受害者与入口点之间存在一定角度的偏离,这一事实使其成为现代软件供应链攻击的常见示例。
您可以采取关键的供应链安全实践和方法来降低供应链安全风险。
Synopsys Black Duck® 软件组件分析 (SCA) 帮助团队管理在应用和容器中使用开源和第三方代码所带来的安全、质量和许可证合规性风险。Black Duck 提供应用程序所基于的开源依赖关系的深度信息,为您提供软件物料清单 (SBOM),其准确详述了代码内容、代码来源以及任何相关的安全或许可证风险。最重要的是,SCA 工具可以持续提供这些信息,确保您在毫秒必争的情形下可掌握开源风险的最新情况。
Coverity® 是一款快速、准确且高度可扩展的静态应用程序安全测试 (SAST) 解决方案,可帮助开发和安全团队在软件开发生命周期 (SDLC) 的早期解决安全和质量缺陷,跟踪和管理整个应用组合的风险,并确保符合安全和编码标准。Coverity 使您能够无缝地保护私有代码,并确保“基础设施即代码”的安全性,从而使您的私有代码不会成为软件供应链中的薄弱环节。
Synopsys Web Scanner™提供快速、简单的动态应用安全测试 (DAST),针对开发人员需求进行了优化。Synopsys Web Scanner 通过无 UI 浏览器拦截和分析 JavaScript 以及 AJAX 请求,系统地测试 Web 应用程序的所有接入点,甚至如同新创建的表单,且填充数据。它检查 OWASP Top 10 Web 应用程序安全风险以及其它已知的安全弱点和漏洞,对如何消除检测到的问题,提供分步指导说明。监控应用程序行为是确保您免受潜在供应链威胁的重要方式。
