日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

開(kāi)源組件在軟件開(kāi)發(fā)場(chǎng)景中越來(lái)越重要。無(wú)論是持續(xù)集成/部署、DevOps還是常規(guī)軟件更新，開(kāi)源都為眾多開(kāi)發(fā)者帶來(lái)了很大的幫助。

在去年發(fā)布的一份報(bào)告中，芯片設(shè)計(jì)自動(dòng)化廠商Synopsys發(fā)現(xiàn)，2021年內(nèi)有97%的代碼庫(kù)中包含開(kāi)源組件。而在研究涉及的17個(gè)行業(yè)中，有4個(gè)行業(yè)（分別為計(jì)算機(jī)硬件與芯片、網(wǎng)絡(luò)安全、能源與清潔技術(shù)，以及物聯(lián)網(wǎng)）參與審計(jì)的代碼庫(kù)100%包含開(kāi)源片段，其他垂直行業(yè)的最低“開(kāi)源含量”也有93%。

很明顯，開(kāi)源的成功已經(jīng)在提高效率、節(jié)約成本和增強(qiáng)開(kāi)發(fā)者生產(chǎn)力方面體現(xiàn)得淋漓盡致。

Synopsys公司高級(jí)技術(shù)作家Fred Bals在評(píng)論博文中寫(xiě)道，“開(kāi)源已經(jīng)是無(wú)處不在?！?/p>

但與此同時(shí)，開(kāi)源軟件包在應(yīng)用程序開(kāi)發(fā)中的不斷普及，也給那些打算利用軟件供應(yīng)鏈傳播后門(mén)的惡意黑客群體創(chuàng)造了前所未有的機(jī)會(huì)。

開(kāi)源軟件包在開(kāi)發(fā)領(lǐng)域的大規(guī)模應(yīng)用，意味著企業(yè)往往不清楚這里面到底有些什么。由于在各方之間不斷過(guò)手，審查的復(fù)雜度開(kāi)始直線飆升，軟件供應(yīng)鏈的實(shí)際情況也愈發(fā)模糊。去年VMware的一份報(bào)告發(fā)現(xiàn)，由于必須依靠社區(qū)來(lái)修復(fù)漏洞，再考慮到相應(yīng)的安全風(fēng)險(xiǎn)，人們對(duì)開(kāi)源軟件的安全問(wèn)題開(kāi)始保持高度警惕。

Endor Labs是一家專司保障應(yīng)用開(kāi)發(fā)內(nèi)開(kāi)源軟件安全的廠商，該公司聯(lián)合創(chuàng)始人兼CEO Varun Badhwar將開(kāi)源軟件稱為“我們關(guān)鍵基礎(chǔ)設(shè)施中的骨干”。但他同時(shí)補(bǔ)充稱，也有相當(dāng)一部分開(kāi)發(fā)者和企業(yè)高管沒(méi)有意識(shí)到自己的應(yīng)用程序已經(jīng)被開(kāi)源軟件所全面滲透。

Badhwar指出，縱觀所有安全漏洞，高達(dá)95%的比例源自“依賴項(xiàng)”——也就是由開(kāi)源軟件包間接引入，而非開(kāi)發(fā)者的主動(dòng)選擇。

“這是個(gè)巨大的隱患，但卻常常被人們所忽視?！?/p>

逐漸摸清威脅的真面目

對(duì)開(kāi)源軟件包的依賴早已不是什么新鮮事。根據(jù)軟件供應(yīng)鏈管理供應(yīng)商Sonatype聯(lián)合創(chuàng)始人兼CTO Brian Fox的介紹，這一習(xí)慣在開(kāi)發(fā)者群體中至少已經(jīng)有十幾年的歷史。

Fox在采訪中表示，開(kāi)發(fā)人員經(jīng)常將源代碼組件拼湊起來(lái)，再向其中添加業(yè)務(wù)邏輯。通過(guò)這種方式，開(kāi)源就成了軟件成果的基礎(chǔ)。

而近年來(lái)最顯著的趨勢(shì)性變化，就是除了大規(guī)模使用開(kāi)源組件的開(kāi)發(fā)者之外，人們對(duì)于IT運(yùn)作的普遍認(rèn)識(shí)也有所增強(qiáng)。

“攻擊者也摸清了開(kāi)發(fā)的底細(xì)。過(guò)去這五年左右當(dāng)中，出現(xiàn)了影響整個(gè)行業(yè)的重大變化，也就是針對(duì)供應(yīng)鏈的惡意軟件攻擊開(kāi)始興起?！?/p>

真正為這場(chǎng)變化拉開(kāi)序幕的，是2020年的SolarWinds攻擊事件。與俄羅斯相關(guān)的惡意黑客入侵了該公司軟件系統(tǒng)并植入了惡意代碼，隨后在更新期間，用戶不知不覺(jué)間下載了惡意代碼并遭到波及。接下來(lái)又有類似的攻擊出現(xiàn)，先是Kaseya、之后是聲量巨大的Log4j。

從Log4j事件說(shuō)開(kāi)去

Fox認(rèn)為，這款基于Java的日志記錄工具，正是大量合并開(kāi)源組件所引發(fā)風(fēng)險(xiǎn)的直接證明。而且這類實(shí)踐在軟件開(kāi)發(fā)當(dāng)中其實(shí)非常普遍。

“Log4j是軟件中的一款簡(jiǎn)單組件。它的應(yīng)用極廣，幾乎可以認(rèn)為存在于任何一款Java應(yīng)用程序當(dāng)中，覆蓋率大概有99.99%。那么作為攻擊者，自然有必要關(guān)注這類影響范圍巨大的目標(biāo)。只要能找到利用它的辦法，就能在互聯(lián)網(wǎng)上「大殺四方」。這跟1990年代那會(huì)的情況完全不同，當(dāng)時(shí)攻擊者得一個(gè)個(gè)研究不同Web應(yīng)用程序的突破方法，因?yàn)槟菚r(shí)候的程序會(huì)分別使用自己的定制代碼。”

所以從本質(zhì)上講，企業(yè)“已經(jīng)把90%的開(kāi)發(fā)工作外包給了我們既不認(rèn)識(shí)、也不信任的人。這聽(tīng)起來(lái)很可怕，但過(guò)去十年間的事實(shí)就是如此。我們現(xiàn)在才剛剛開(kāi)始探究這到底意味著什么?！?/p>

Log4j還凸顯出軟件供應(yīng)鏈中的另一個(gè)問(wèn)題，即如何判斷一款軟件對(duì)于開(kāi)源代碼的依賴程度。而且盡管修復(fù)補(bǔ)丁早已發(fā)布，但估計(jì)仍有29%的Log4j下載量對(duì)應(yīng)的是未修復(fù)版本。

根據(jù)Sonatype公司的分析，企業(yè)客戶在大多數(shù)情況下使用的都是易受攻擊的組件版本。經(jīng)過(guò)修復(fù)的版本不是沒(méi)有，但企業(yè)很少全貌和。Fox稱，這個(gè)問(wèn)題需要安全意識(shí)教育來(lái)解決?！?6%的問(wèn)題都出在人們繼續(xù)吃「臟東西」上，大家往往沒(méi)有意識(shí)去挑選干凈的版本來(lái)用?！?/p>

矛頭指向代碼倉(cāng)庫(kù)

開(kāi)源軟件普及帶來(lái)的另一大威脅是：黑客開(kāi)始將惡意軟件注入GitHub、Python軟件包索引（PYPI）和NPM等代碼倉(cāng)庫(kù)當(dāng)中。利用依賴項(xiàng)混亂揚(yáng)起的迷霧，惡意黑客開(kāi)始為各種流行軟件開(kāi)發(fā)惡意版本，并誘導(dǎo)開(kāi)發(fā)者將其納入自家軟件。

比方說(shuō)，他們可能把正確軟件中的破折號(hào)替換成下劃線，這樣粗心的開(kāi)發(fā)者就很可能選定了錯(cuò)誤的組件。

Fox認(rèn)為，“這里的挑戰(zhàn)在于，開(kāi)發(fā)者一旦開(kāi)始獲取錯(cuò)誤的組件版本，攻擊就已經(jīng)開(kāi)始了。這跟以往通過(guò)瀏覽器主動(dòng)下載不一樣，現(xiàn)在的下載過(guò)程被隱藏在了工具中、發(fā)生在幕后，這同樣有可能導(dǎo)致惡意軟件的傳播?！?/p>

 “這類攻擊手段的復(fù)雜度不高，有些惡意組件甚至懶得把自己偽裝成合法組件。不編譯、不測(cè)試，只是把有效載荷發(fā)布出來(lái)。就這么簡(jiǎn)單粗暴，也仍不乏受害者上鉤?！?/p>

防御方正在集結(jié)

盡管開(kāi)源軟件存在固有的安全風(fēng)險(xiǎn)，但其優(yōu)勢(shì)仍然不可否認(rèn)。Fox強(qiáng)調(diào)，開(kāi)源軟件比商業(yè)軟件更透明、更清晰。他仍然以Log4j事件為例，當(dāng)時(shí)貢獻(xiàn)團(tuán)隊(duì)在幾天內(nèi)就放出了修復(fù)程序，這是商業(yè)組織很難做到的。

網(wǎng)絡(luò)安全服務(wù)商Vulcan Cyber的高級(jí)技術(shù)工程師Mike Parkin對(duì)此表示贊同，他認(rèn)為開(kāi)源模型的公開(kāi)性是把雙刃劍——既有助于緩解網(wǎng)絡(luò)威脅，也可能拉低潛在的攻擊門(mén)檻。

Parkin在采訪中指出，“從歷史角度看，應(yīng)該還是開(kāi)發(fā)者相對(duì)更占優(yōu)勢(shì)?！?/p>

SolarWinds事件也讓人們開(kāi)始認(rèn)真關(guān)注軟件供應(yīng)鏈的安全問(wèn)題。以總統(tǒng)拜登的2021年網(wǎng)絡(luò)安全行政令為基礎(chǔ)，白宮方面于2022年9月正式要求各聯(lián)邦機(jī)構(gòu)在使用第三方軟件時(shí)必須遵循NIST指南，包括軟件開(kāi)發(fā)商需要自證安全并提交軟件材料清單（SBOM）。

軟件開(kāi)發(fā)商也在推動(dòng)廣泛努力，希望加強(qiáng)軟件供應(yīng)鏈的整體安全性。具體手段包括開(kāi)放軟件供應(yīng)鏈攻擊參考，發(fā)布漏洞可用性交流（VEX）等工具，并使用由各網(wǎng)絡(luò)安全廠商開(kāi)發(fā)的相關(guān)產(chǎn)品。

但這還不夠，Sonatype公司的Fox希望看到更多舉措——例如要求軟件開(kāi)發(fā)商召回存在缺陷的軟件組件。而這項(xiàng)工作的前提條件，就是首先普及軟件材料清單。Fox將其與汽車(chē)制造業(yè)進(jìn)行了比較：廠商只需要向買(mǎi)家提供一份零配件清單，即可明確責(zé)任劃分。如果證實(shí)是其中某一配件的缺陷，則整車(chē)本體不需要召回。

 “軟件也應(yīng)該建立起類似的召回機(jī)制，這意味著開(kāi)發(fā)商知道用了哪些組件、這些組件來(lái)自哪里，還有應(yīng)用程序的正常運(yùn)行依賴于哪些開(kāi)源軟件版本。只有這樣，安全隱患才有被發(fā)現(xiàn)和管理起來(lái)的可能。這才是正確的安全發(fā)展方向?！?/p>

Fox還希望各方能專注于維護(hù)開(kāi)源軟件包。政府在這方面已經(jīng)有所行動(dòng)，《歐盟網(wǎng)絡(luò)彈性法案》也談到了軟件召回問(wèn)題，只是相關(guān)表述還不夠確切。在這方面，美國(guó)很可能會(huì)走在世界前列。

他也提到了組件級(jí)防火墻的想法，這些防火墻的性質(zhì)類似于檢查網(wǎng)絡(luò)流量并提前阻斷惡意信息的數(shù)據(jù)包防火墻，區(qū)別是在組件層級(jí)上阻止惡意代碼損害軟件失。

 “如果我們壓根不了解軟件里有些什么，那就不可能搞清楚里面有沒(méi)有惡意軟件。這不僅代表著易受攻擊，甚至可以說(shuō)是種「我為魚(yú)肉」的消極姿態(tài)。只要被對(duì)方觸及，惡意黑客就能立刻制造傷害。而且很遺憾，大多數(shù)人還沒(méi)有認(rèn)真思考過(guò)這個(gè)問(wèn)題?！?/p>

Sonatype公司的方案是將Nexus防火墻構(gòu)建至平臺(tái)當(dāng)中，依托于衍生自信用卡欺詐保護(hù)的技術(shù)阻斷惡意代碼。防火墻理解正常運(yùn)作時(shí)的狀態(tài)，并利用AI和機(jī)器學(xué)習(xí)技術(shù)檢測(cè)異?；顒?dòng)。2022年，該防火墻就標(biāo)記出了108000多次惡意攻擊嘗試。

 “很多組織甚至壓根沒(méi)有意識(shí)到這個(gè)問(wèn)題。但現(xiàn)實(shí)就是如此，惡意黑客們?nèi)匀诲羞b法外、肆無(wú)忌憚?！?/p>

不止如此，防火墻功能還需要跟軟件材料清單結(jié)合起來(lái)。

 “沒(méi)錯(cuò)，必須了解軟件中的各部分組件在哪。這樣當(dāng)下一次Log4j事件發(fā)生時(shí)，我們才能立即做出糾正，而不必臨時(shí)對(duì)成千上萬(wàn)的應(yīng)用程序做劃分。但理解軟件構(gòu)成還只是第一步，我們需要建立保護(hù)體系才能真正拒惡意攻擊于邊界之外。”

分享標(biāo)題：開(kāi)源軟件好處多，但供應(yīng)鏈風(fēng)險(xiǎn)不容忽視
標(biāo)題URL：http://www.dlmjj.cn/article/cdcjids.html