从Log4j漏洞到node-ipc组件投毒,供应链安全事宜爆发的频次和影响面都在持续扩大,供应链安全已经成为企业开展经营活动不得不面对的一个隐患,也是所有安全厂商致力于要办理的问题。开源是更安全还是更不屈安?
本次分享内容由墨菲安全联合创始人欧阳强斌、腾讯安全云鼎实验室高等安全研究员王福维,以“软件供应链安全威胁的前哨不雅观察与行业方案”为主题,分享了来自软件供应链的范例安全威胁,要办理这些问题面临着哪些寻衅,以及业界不同组织在试图办理这些安全威胁中作出的办理方案。
王福维老师从以下几个方面分享了来自软件供应链的真实威胁:软件供应链的干系角色包括软件的供应者、软件的消费者、平台方,三个角色之间没有绝对的界线并相互浸染,实在漏洞真实的威胁远远不止0day这么大略,而软件供应链对付开源组件的漏洞造成的风险具有增强效应,即随着韶光的延长会造成漏洞难以确认、修复起来费时费力、影响受众翻倍且难以剖析和管理。
软件供应链安全的核心问题在于要破除统统无条件信赖,同时具备对“意图”的感知;要核阅统统信赖,对所有依赖的上游、利用的平台工具,以攻击者视角剖析,及至假定面对的是国家对抗力量。须要加入可控可信平台,后门检测技能要基于统统三方不可信原则;开源协作培植要以生态的方法办理生态的问题,在自主可控平台上打造自主接入、可复制的扫描能力共建,并共享信息。
末了,面向供应链威胁,预判更多攻击来向、研究办理方案,整合创造新技能,腾讯安全一贯在探索,生态问题期望更多生态声音、行业力量,期望更多具备创新思维和商业化目标的参与方发声。
欧阳强斌从以下几个方面详细分享了安全威胁背后的寻衅与行业办理方案 :随着软件行业以及开源生态的发展,开源软件已经成为了全体数字天下的基石。软件供应链升级使开拓过程越来越大略和低本钱,有数据统计从2015年到2019年,开源代码的利用占比增长了一倍,现在已经到了78%的水位。均匀每一个项目可能会引入超过100个开源组件,这个中可能有20%-30%的组件都存在不止一个漏洞,63%的开源项目如果直接拿来商用,会存在容许证侵权的风险。
而在过去的两年韶光,从软件的生产到利用各个环节都已经涌现了各种各样的安全事宜。由于开源技能运用广泛、国际形势繁芜、软件供应链的多样化,软件供应链攻击次数急剧上升,危害急剧加大。而黑客针对通用软件供应链的攻击本钱低,攻击覆盖效果好,可通过盗取数据、打单、挖矿等多种获利办法 。因此国家对软件供应链安全的管理力度也在不断增强。
综合来看,供应链安全目前紧张面临如何准确识别资产、风险如何检测或预防、企业管理低本钱落地三大寻衅。从业界来看,huntr、debricked等初创公司推出了创新的产品,openSSF基金会在积极推进sigstore、scoreboard等办理方案,NPM、docker等包管理增强管控机制,CVE、SPDX这些标准也在不断演进。总体来说开源软件供应链是处在一个安全风险高、来自攻击者和国家监管的关注度都很高的状态。
一个好的办理方案,须要完善的工具链支持,以及丰富的组件、漏洞等知识数据才能够实现。不管是组件还是漏洞,都在走向标准化,在未来可能会做得非常标准化。但是,现实到未来还有很长的一段路须要走,在软件供应链安全这个领域,实在也没有任何的一个办理方案能够办理所有的问题,在当前我们仍旧须要做大量的非常细致、噜苏的事情,争取取得一个更好的成果。
基于以上的分享,希望大家对软件供应链安全有更深刻的理解和思考,非常感谢这次互换分享的机会,在未来办理方案上我们也会连续探索和提高,欢迎大家有问题一起互换。
可不雅观看视频查看完全内容:https://www.bilibili.com/video/BV18Y411P7bQ?spm_id_from=333.999.0.0
三、墨菲安全供应了哪些能力墨菲安全旗下开源组件安全检测产品——苏木,为帮助每一个开拓者更安全的利用开源代码。其能力包括
代码安全检测:识别代码项目中存在的开源组件安全漏洞,并快速修复它容许证合规评估:识别代码项目中利用的开源组件容许证,检讨合规的风险软件身分剖析识别:代码和根本环境中的三方组件依赖资产,并进行有效管理CLI 工具
可用于在命令行检测指定目录代码的依赖安全问题,也可以基于 CLI 工具实现在 CI 流程的检测
可参考文档墨菲安全 CLI 与 Jenkins CI 的集成:murphysec.com/docs/integrations/jenkins/
目前项目已开源:https://github.com/murphysecurity/murphysec
支持功能及措辞剖析项目利用的依赖信息,包含直接和间接依赖检测项目依赖存在的已知漏洞信息目前支持 Java、JavaScript、Golang、Python、PHP 措辞项目的检测。
JetBrains IDE 插件
该插件让开发者在 IDE 中即可检测代码依赖的安全问题,轻松识别代码中利用了哪些存在安全毛病的开源组件,通过准确的修复方案和一键修复功能,快速办理安全问题。
在 JetBrains IDE 插件市场搜索“murphysec” 即可快速安装利用。
支持功能目前 Murphysec Code Scan 支持的功能如下:
漏洞检测:检测Java(Maven)、JavaScript(npm)、Go(gomod)、Python(pip)代码中引入的毛病组件一键修复:不仅有清晰的修复方案,还可以通过此功能快速修复实时检测:代码的依赖发生变革导致了安全问题,不用担心,插件会及时给您提醒进行处理如果您有任何问题欢迎反馈和联系我们~
