避免毒害開源供應鏈的因素
多起重大的軟體供應鏈漏洞事件已儼然成為近期焦點新聞,在烏俄衝突爆發之初,node-ipc的開發人員就決定全面禁止俄羅斯境內任何IP位址使用自家程式碼,此舉在不知不覺之中間接影響了許多在該國運作的人道救援與慈善組織。在其他事件當中,開發人員對於自家原始碼充斥在盈利產品之中而感到不滿,開始藉由對自家GitHub投毒攻擊,來吸引使用者與廣大社群對他們缺乏金援現況的關注。
不可否認的是,公開的開發者資源資料庫正遭駭客竊取,他們已完全意識到一個簡單的誤植域名就有可能會將他們改寫的程式碼傳播到全球數千個專案之中。但大多數惡意供應鏈的惡意軟體案例都未被上報 – 可能是因為罄竹難書,開放原始碼軟體供應鏈網路安全供應商Sonatype在一次主動掃描時發現,光是整個npm生態系,就有102,930個惡意或潛在的惡意程式碼案例。一旦整合到開發管道中,被改寫的應用程式將隨即進入產品品質測試、測試、甚至是生產階段。接著,他們就能夠破壞雲端認證、劫持加密貨幣挖礦的處理週期、竊取公司的智慧資產,以及令人心煩的一連串惡意軟體攻擊事件。
因Linux核心初版的部署即引發專有UNIX的垂死掙扎,開發人員社群為大眾利益著想,已發布相關的資源與程式碼。雖然開放原始碼軟體的意識形態將延續下去,因為它對所有開發人員與軟體都具有壓倒性的優勢,但提供這類優勢的手段正在被犯罪分子破壞。這是相當不樂見的人為行動之一,也是無法避免的,除非每項專案皆是從頭編寫,且無須參考公開資料庫、架構與程式碼。
各組織已透過建立自家資料庫,僅能在內部使用包含「已批准」的元素,或至少確保所有進入CI/CD管道軟體套件的真實性,來彌補許多安全性與品質管控問題。控管通常能為軟體的生產帶來優勢,包括版本管控、相容性、依賴解析、CI/CD自動化,以及為任何應用程式(相對)簡單地生產整體BOM(物料清單),以上只是列舉幾個例子。本地資料庫迅速地成為變更管理、新開發與兩者中間所有程序任何交付管道不可或缺的一項工具,但這項資源的安全性維護必定是一項相當繁瑣的工作,亦需消耗(成本極高的)資源。
在業績達標壓力山大的迫使之下,DevOps團隊不僅容易出錯,且極有可能會為了降低成本而忽視安全性相關疑慮,首先被拋諸腦後的可能是對每個資料庫或功能的適當審查。這是使得開發人員與他們聚焦於安全性議題同事們之所以出現對立立場最根本的原因之一,有許多方法與解決方案試圖將網路安全最佳實踐導入軟體供應鏈與CI/CD生命週期各階段。
任何應用程式的核心元素在其整體開發與後續更新流程中都必須進行安全性與認證合規性檢查。這代表著在下載時沒有惡意軟體或不合乎條款及細則的情況出現,並在漏洞披露或其他敏感性議題變得顯而易見時(或認證條款變更時)不斷反覆檢查。在一個極為複雜的應用程式中,這可能代表著需要觀察與控管數千個的組件,這顯然已超出了大多數組織的負荷。
這樣的情況是無法改變的,事實上,隨著對軟體依賴程度的日益增加,這樣的情況還可能會跟著惡化。全球每間公司與組織,無論規模大小,都正朝著數位化與部署更多技術邁進。因此,可以肯定的是,惡意攻擊事件也將隨之增加。簡而言之,在問題日益加劇的同時,開放原始碼軟體的開發亦需加速創新,擬定全新的解決方案,並更新全球各地的服務與應用程式。
Sonatype
上述引用的數字(192,000多個惡意軟體套件)是透過Sonatype Nexus防火牆執行的行為分析與自動安全掃描整理出的數據。這是一種方法,組織的開發功能得以協助他們保護自身避免遭受Log4J事件所呈現漏洞類型的影響 – 該事件的影響仍持續加劇。 透過SCA(軟體組成分析)程序,組織能夠評估自身軟體組成的安全性、管控版本、確保減少依賴性問題的存在,並在眾多認證類型中維持準確性。
Nexus防火牆能夠隔離(並於審查後釋出)任何下載的組件,讓企業得以完全管控允許進入SDLC(軟體開發生命週期)的內容。政策亦得以根據需求進行調整,包括根據套件或資料庫的流行程度、年代、來源、版本與認證進行管控。 (後者還擁有一個附加的優勢,也就是確保沒有任何後續可能會引起法律問題違規行為的發生。)
開發人員僅能使用設定版本範圍內的安全組件,進而降低版本選擇問題,亦減少了對破壞性的依賴程度。在預設情況下,新的版本將被封鎖,直至它們再經審查後並釋出至本地資料庫之中,無論是Nexus Repository或是JFrog Artifactory Enterprise。
因為支援多種程式語言(Java、JS、Ruby、.NET、Python、Go),Nexus防火牆是加強實現人們經常提起整合安全性、操作與開發目標的絕佳途徑: DevSecOps。欲瞭解更多相關資訊、探索價格以及以社區為重心的相關資源,請造訪Sonatype預約展示。
Qualys
Qualys是著名的資訊安全與合規開發解決方案供應商,完美無縫地適用於Jenkins及Puppet等常見的CI/CD平台,此外,還能在Splunk等熱門SIEM平台中安裝外掛。
這是首批以開發者為中心設計的軟體平台之一,採用Podman與Docker為主建構出的微型服務,並確保使用容器進行開發(即使在實驗性的預備生產環境之中)是安全且可靠的。Docker鏡像損壞的眾多案例證明該企業在這領域的保守態度,對滿懷感謝之意使用者而言,這樣的作法能夠將預期的容器行為與實際上的部署進行交叉驗證,以便標記出可能出現存在不良反應的異常情況。
Qualys平台能夠掃描所有可用的資產,從雲端資料庫(內建設定連接至熱門超大規模服務平台)到由單一開發人員操作的個別端點。
欲瞭解與Qualys DevOps安全解決方案更多的相關資訊,請閱讀此篇文章。
Micro Focus
絕大多數使用某種第三方開放原始碼軟體的應用程式都是運用現有工具鏈建立的,這些工具鏈可能長期嵌入業務流程之中。
Micro Focus Fortify為企業提供了透過現有的CI/CD堆棧向後移植的能力,以便在SDLC的各個階段建構出更全面的安全性。
它的軟體有效清除了在關鍵時刻暫停應用程式開發以便進行安全掃描的需求 – 流程轉變為連續且不中斷的,生產效率進而大幅提升,也就帶動了新應用程式的投資報酬率。
該公司專注於影響安全性的三大核心理念,或許最合適的形容詞是需特別注意的三大要素,來確保獲取潔淨的BOM:人、流程與技術。
隨著各部門面臨推動更新、增加功能,以及將全新的應用程式與服務上市等各項目標的壓力日益加劇,Fortify在能夠確保迅速工作流程的同時,又能維持安全性。
點擊此處,即可瞭解更多Micro Focus Fortify協助企業維持軟體供應鏈安全性的方法。
READ MORE
- Data Strategies That Dictate Legacy Overhaul Methods for Established Banks
- Securing Data: A Guide to Navigating Australian Privacy Regulations
- Ethical Threads: Transforming Fashion with Trust and Transparency
- Top 5 Drivers Shaping IT Budgets This Financial Year
- Beyond Connectivity: How Wireless Site Surveys Enhance Tomorrow’s Business Network