如果說2020年是人們敏銳地意識到消費品供應(yīng)鏈壓力的一年，那么2021年是軟件供應(yīng)鏈安全意識興起的一年。在2021年發(fā)生的令人關(guān)注的網(wǎng)絡(luò)攻擊事件中，包括美國一些政府機構(gòu)在內(nèi)的數(shù)以千計的客戶下載了受損的SolarWinds更新軟件而受到影響。

SolarWinds供應(yīng)鏈攻擊事件并不是孤例。事實上，軟件供應(yīng)鏈中的弱點在最近發(fā)生的Log4j漏洞事件中非常明顯。Log4j是一個廣泛使用的開源Java日志框架，該漏洞使數(shù)以萬計的應(yīng)用程序(從數(shù)據(jù)存儲服務(wù)到在線視頻游戲)面臨風(fēng)險。

由于在生產(chǎn)中運行了大量輕量級維護代碼，因此軟件供應(yīng)鏈對于Log4j等安全漏洞利用的時機已經(jīng)成熟。這是開源中的一個熱門話題，因為很多人使用輕量級維護的軟件庫，將它們投入生產(chǎn)，然后再也不打補丁。

這就是為什么說2022年將成為軟件供應(yīng)鏈安全元年的原因。

以下是行業(yè)專家的預(yù)測，企業(yè)將在2022年努力加強軟件供應(yīng)鏈安全，并應(yīng)該進行的三種實踐。

(1) 深入探索容器鏡像distroless

在2022年，企業(yè)應(yīng)該考慮標(biāo)準(zhǔn)化，并精心修改他們的容器鏡像，其中包括發(fā)行版。事實上，有些人甚至?xí)f企業(yè)應(yīng)該“不受干擾”。

在distroless模型中，應(yīng)用程序仍然打包在容器鏡像中，但只保留了操作系統(tǒng)的最小痕跡。這個想法是通過盡可能多地剝離操作系統(tǒng)(例如刪除包管理器、庫和外殼)而減小網(wǎng)絡(luò)攻擊面。

但是，重要的是要了解，就像無服務(wù)器計算中采用了服務(wù)器一樣，無發(fā)行版中有發(fā)行版(發(fā)行版較少)。這可能就是distroless模型的真正價值，即提供一個框架來仔細挑選需要的和不需要的資源，而不是不加選擇地專注于減小單個容器映像的大小。

(2) 檢查容器鏡像和注冊表

軟件從未像現(xiàn)在這樣復(fù)雜，如果企業(yè)不了解正在部署的所有內(nèi)容，就會遇到問題。隨著容器使用的增加，企業(yè)需要考慮他們?nèi)绾问褂煤筒渴鹑萜麋R像。換句話說，需要從受信任的地方下載受信任的東西。

企業(yè)可以抓住機會，以更快的速度生產(chǎn)產(chǎn)品?；蛘叻浅Ｐ⌒闹斏鳎ＷC不會成為下一個SolarWinds網(wǎng)絡(luò)攻擊事件的受害者。

事實上，一些企業(yè)在從容器注冊表中提取軟件時有一個受到控制的安全環(huán)境。企業(yè)可以讓開發(fā)人員從他們想要的任何地方撤出。

這有點像讓每個承包商管理自己的供應(yīng)鏈合同，但如果事先考慮到惡意攻擊，那就太可怕了。當(dāng)涉及到容器供應(yīng)鏈時，很容易進入被黑客入侵的鏡像。因此，企業(yè)需要從受信任的供應(yīng)商處獲取容器映像，或確保了解(并且可以從頭開始重建)供應(yīng)鏈中的每個容器映像。

(3) 評估SLSA

預(yù)測企業(yè)將開始探索并實施軟件的供應(yīng)鏈級別(SLSA)，SLSA 是一個保護軟件供應(yīng)鏈完整性的框架。

SLSA基于谷歌公司的Borg內(nèi)部二進制授權(quán)(BAB)平臺，這是一種內(nèi)部部署的強制檢查，旨在確保生產(chǎn)軟件和配置得到適當(dāng)?shù)膶彶楹褪跈?quán)。谷歌公司指出，采用BAB有助于降低內(nèi)部風(fēng)險、防止網(wǎng)絡(luò)攻擊，并支持生產(chǎn)系統(tǒng)的一致性。

谷歌公司聲稱，SLSA的目標(biāo)是通過防范網(wǎng)絡(luò)威脅來改善行業(yè)安全狀況，尤其是在開源環(huán)境中。SLSA還讓消費者安心地了解他們使用的軟件的安全狀況。

加州大學(xué)伯克利分校國際計算機科學(xué)研究所的安全研究員Nick Weaver說：“供應(yīng)鏈攻擊很可怕，因為它們真的很難處理，而它們明確表示企業(yè)可以信任整個生態(tài)系統(tǒng)，信任所有代碼在其機器的供應(yīng)商，信任每個供應(yīng)商的供應(yīng)商?！?/p>

谷歌公司發(fā)布了一個SLSA概念證明，允許用戶在構(gòu)建組件的同時創(chuàng)建和上傳出處，從而達到SLSA級別1。在此建議任何軟件開發(fā)商都要查看這個概念證明。

永遠不要打破軟件供應(yīng)鏈

企業(yè)在過去幾年中經(jīng)歷了很多事件，軟件供應(yīng)鏈攻擊激增也加大了挑戰(zhàn)，因為企業(yè)應(yīng)對新冠疫情，從而忽略了供應(yīng)鏈安全。當(dāng)企業(yè)計劃如何度過疫情時，保護軟件供應(yīng)鏈應(yīng)該是首要任務(wù)。

如果不能保證軟件供應(yīng)鏈的安全，企業(yè)和他們的客戶一直處在小心翼翼的狀態(tài)。當(dāng)然，保障供應(yīng)鏈安全的理念是，其安全取決于最薄弱的環(huán)節(jié)，這意味著沒有任何一家企業(yè)可以靠自己來保護軟件供應(yīng)鏈。

在2022年，考慮可以添加到現(xiàn)有最佳實踐中的策略和技術(shù)非常重要。這種連續(xù)分層將幫助企業(yè)在對抗軟件供應(yīng)鏈攻擊時保持最新狀態(tài)。

人們一直在提防著下一個“黑天鵝”事件——看不見的威脅。對于這種情況，實際上只有一個全面防御措施：密切關(guān)注供應(yīng)鏈!