降低軟件供應鏈安全風險的10個方法

盡管軟件供應鏈攻擊不斷增加，但開源軟件的使用率提高了80%。根據(jù)Gartner 2022年的研究，全球近45%的公司將成為軟件供應攻擊的受害者。在應用程序中使用開源代碼可能會面臨威脅，如包含惡意代碼的代碼庫、安全漏洞和過期許可等。

一些關鍵供應鏈攻擊趨勢包括：

第三方代碼或組件帶有已知漏洞，可以通過公共漏洞和暴露(CVE)列表公開跟蹤。

未知漏洞構成了更嚴重的威脅，因為可能需要數(shù)年時間才能發(fā)現(xiàn)可以利用的安全漏洞。這種威脅通常被稱為0day問題，對于這類問題需要立即響應。

實施供應鏈攻擊并不僅僅可能是一行糟糕的代碼。有時，加密、配置錯誤和敏感數(shù)據(jù)管理不善等非代碼問題也可能構成威脅。

將惡意代碼注入易受攻擊的庫或存儲庫可使攻擊者獲得后門訪問權限。

常見漏洞和攻擊媒介

• 通過商業(yè)或開源框架和庫的第三方依賴項
• 通過面向公眾的分發(fā)系統(tǒng)輕松訪問軟件環(huán)境
• 對攻擊者同樣開放的公共代碼存儲庫
• 由于密鑰被盜或證書過期而無法進行代碼簽名

開發(fā)人員可采取降低供應鏈風險的10個步驟

以下是一些發(fā)現(xiàn)代碼中的安全漏洞和其他錯誤配置可參考的技術手段。

1. 識別并映射軟件組件和依賴關系

如今，開發(fā)人員將開源和第三方代碼與自己的代碼結合使用。在這種情況下，建立一個強大的第三方或供應商風險管理系統(tǒng)很重要。這個系統(tǒng)有助于了解第三方環(huán)境：使用了哪些組件、訪問權限以及針對它們可以采取的安全手段。

2. 監(jiān)控軟件依賴關系中的漏洞并應用安全補丁

當將代碼眾包給開源社區(qū)時，有可能通過第三方依賴繼承漏洞。使用帶有漏洞的依賴關系已被OWASP列為十大安全風險之一。要管理這種情況，需要實施有效的監(jiān)控實踐。

供應商通常會發(fā)布已知漏洞的補丁，以消除其代碼庫中的安全風險。自動執(zhí)行補丁管理以跟蹤缺失的補丁并將補丁部署到軟件中。

3. 僅對軟件組件使用可信來源

由于開源軟件是免費且廣泛可用的，黑客可以很容易地訪問這些第三方軟件包，尋找漏洞并加以利用。因此，在為應用程序使用外部代碼時，在添加這些組件并允許它們訪問敏感數(shù)據(jù)之前進行評估。

4. 實施強大的訪問控制、身份驗證和授權

任何網(wǎng)絡安全攻擊的主要目標都是訪問機密信息和資源，保護這些數(shù)據(jù)至關重要。這可以通過幾個框架實現(xiàn)可靠的授權和身份驗證實踐來實現(xiàn)這一點。

為開發(fā)人員建立身份訪問管理 (IAM) 實踐將能夠監(jiān)控所有用戶帳戶并有效地將風險暴露降低。

通過雙因素身份驗證添加分層安全措施使黑客難以訪問敏感數(shù)據(jù)。除了密碼之外，還可以通過短信或其他代碼生成應用程序進行實時身份驗證。

PAM(特權訪問管理)是另一個監(jiān)控框架，用于監(jiān)控訪問關鍵業(yè)務信息的帳戶。

零信任身份驗證，其中每個請求都受到懷疑處理，并遵循徹底的身份驗證過程。

5. 定期進行安全測試和漏洞評估

在漏洞造成損害之前發(fā)現(xiàn)它們是保護應用程序免受供應鏈風險影響的關鍵。通過在軟件開發(fā)過程的不同階段運行多個測試和評估來做到這一點。要檢測漏洞，可以運行測試，包括:

SAST(靜態(tài)應用程序安全測試)——從內部代碼評估應用程序的白盒測試。

DAST(動態(tài)應用程序安全測試)——從外部評估應用程序的黑盒測試。

6. 實施代碼簽名和驗證，確保代碼真實性

通過為軟件組件實現(xiàn)數(shù)字簽名，可以確保標記代碼庫中的任何偏差或更改。分配數(shù)字簽名的過程稱為代碼簽名。它驗證源代碼的真實性，保證沒有漏洞被忽視。

7. 實施安全編碼實踐，并定期對開發(fā)人員進行安全編碼原則培訓

員工是抵御任何網(wǎng)絡安全威脅的重要防御手段。企業(yè)有責任定義和執(zhí)行嚴格的編碼實踐。對員工進行網(wǎng)絡犯罪意識培訓，以防止網(wǎng)絡釣魚、點擊劫持和社會工程攻擊等創(chuàng)造性攻擊。

8. 建立 SDLC 流程，包括安全要求、測試和風險評估

隨著安全性在企業(yè)優(yōu)先級列表中的上升，DevOps演變?yōu)镈evSecOps，其中安全性是SDLC流程每個階段的一部分。通過足夠的依賴關系可見性來識別和消除威脅，這樣每個人都知道依賴關系和相關的漏洞。以下是一些方法：

• 在開發(fā)過程中實施SAST和DAST測試
• 在提交代碼之前掃描代碼以清除其漏洞
• 使用AI/ML工具自動化安全、監(jiān)控和警報機制
• 更加關注多云應用程序的機密管理

9. 考慮使用 SCA 工具來檢測和管理軟件依賴關系

SCA會通讀應用程序中使用的開放源代碼包，并突出顯示所有漏洞。SCA不僅僅可用來檢測開源代碼，還可以使用這些工具來驗證基礎設施作為代碼(IaC)的風險偏好，并創(chuàng)建SBOM。

10. 制定事件響應和災難恢復計劃

盡管采取網(wǎng)絡安全手段很重要，但還必須定義事件響應工作流以應對攻擊的可能性。該計劃應包括對發(fā)生網(wǎng)絡攻擊的取證分析以及使系統(tǒng)恢復到默認模式的過程。

來源：

https://spectralops.io/blog/10-steps-to-take-now-to-reduce-supply-chain-risks/