近日，軟件管理企業(yè)Sonatype發(fā)布了《2022 年軟件供應(yīng)鏈狀況報(bào)告》，該報(bào)告圍繞軟件供應(yīng)鏈持續(xù)增長(zhǎng)的安全威脅、開(kāi)源依賴(lài)關(guān)系管理等方面進(jìn)行了探討，旨在指導(dǎo)開(kāi)發(fā)人員在軟件供應(yīng)鏈方面的安全實(shí)踐。

　　報(bào)告指出，2021年底爆發(fā)的Log4j事件成為了許多企業(yè)組織的分水嶺，極大的影響了組織顳部新的開(kāi)源管理策略的發(fā)展。在這一事件的影響下，2022年開(kāi)發(fā)人員對(duì)于開(kāi)源項(xiàng)目的應(yīng)用有所放緩，下載并集成到軟件中的開(kāi)源組件的數(shù)量總體平均增長(zhǎng)率已從2021年73%的歷史高點(diǎn)大幅放緩至更溫和的33%。

　　但能夠看到的是，在數(shù)字經(jīng)濟(jì)、云計(jì)算和人工智能等新技術(shù)、新場(chǎng)景的創(chuàng)新發(fā)展下，開(kāi)源項(xiàng)目的應(yīng)用仍然在飛速增長(zhǎng)，并且沒(méi)有顯示出短期內(nèi)停止的跡象。同樣，開(kāi)源下載量也在不斷加速，這相當(dāng)于一場(chǎng)潛在威脅的完美風(fēng)暴，其范圍、復(fù)雜性和影響都在擴(kuò)大。

　　據(jù)報(bào)告統(tǒng)計(jì)，2022年針對(duì)開(kāi)源存儲(chǔ)庫(kù)的已知攻擊同比增長(zhǎng)了633%，自2019年以來(lái)，平均年增長(zhǎng)高達(dá)742%。

　　開(kāi)源項(xiàng)目的消費(fèi)者與維護(hù)者

　　誰(shuí)才是開(kāi)源風(fēng)險(xiǎn)加劇的罪魁禍?zhǔn)祝?/strong>

　　近兩年來(lái)，隨著開(kāi)源軟件供應(yīng)鏈的問(wèn)題日益受到關(guān)注，有關(guān)開(kāi)源風(fēng)險(xiǎn)來(lái)源的問(wèn)題一次次的引起各界討論。尤其開(kāi)源項(xiàng)目的發(fā)布者和維護(hù)者受到了許多質(zhì)疑，他們經(jīng)常被貼上不負(fù)責(zé)任或不愿意更新軟件的標(biāo)簽。

　　但事實(shí)上，根據(jù)Maven Central 存儲(chǔ)庫(kù)下載數(shù)據(jù)顯示，開(kāi)源項(xiàng)目的消費(fèi)者們似乎才是造成相關(guān)風(fēng)險(xiǎn)激增的主要原因。據(jù)報(bào)告有效統(tǒng)計(jì)，2021年 Maven Central存儲(chǔ)庫(kù)的全年下載量超過(guò) 1310 億次。隨后，將下載沒(méi)有固定版本的易受攻擊開(kāi)源組件的使用者與具有固定版本但未選擇的易受攻擊開(kāi)源組件進(jìn)行比較后發(fā)現(xiàn)，存在易受攻擊版本開(kāi)源項(xiàng)目中95.5% 都提供了修復(fù)版本，但仍然有62%的消費(fèi)者會(huì)去下載易受攻擊項(xiàng)目。

　　在 Maven 中央存儲(chǔ)庫(kù)中大約有1000萬(wàn)個(gè)項(xiàng)目可供下載。根據(jù)報(bào)告中的數(shù)據(jù)，這些版本中只有35%（350萬(wàn)）包含已知易受攻擊的問(wèn)題，而在易受攻擊的版本中，只有4.2%（147，000個(gè)）沒(méi)有可用的修復(fù)程序，這意味著95.8%的易受攻擊的下載項(xiàng)目都有可用的安全修復(fù)版本。

　　據(jù)報(bào)告測(cè)算，全球約有2600萬(wàn)開(kāi)發(fā)人員（消費(fèi)者），這些消費(fèi)者中約有1440萬(wàn)正在下載易受攻擊的開(kāi)源組件。在這個(gè)群體中，有570萬(wàn)下載了一個(gè)沒(méi)有可用修復(fù)的開(kāi)源組件，這意味著870萬(wàn)消費(fèi)者有固定的選擇，但他們?nèi)匀贿x擇了一個(gè)易受攻擊的版本。

　　為什么有870萬(wàn)開(kāi)源消費(fèi)者選擇了易受攻擊的版本，而不是不易受攻擊的版本？Sonatype認(rèn)為原因主要存在于以下三點(diǎn)：

　　流行度

　　在決定在開(kāi)發(fā)項(xiàng)目中使用哪些開(kāi)源組件時(shí)，流行度通常用作選擇的一個(gè)重要標(biāo)準(zhǔn)。即默認(rèn)為：“其他人都在使用它，因此它是安全可靠的”。從理論上講，這是有道理的，因?yàn)楦軞g迎的項(xiàng)目應(yīng)該會(huì)更快地得到修復(fù)，但事實(shí)并非如此，依賴(lài)關(guān)系的受歡迎程度與更快的安全修復(fù)時(shí)間并不相關(guān)。一個(gè)受歡迎的開(kāi)源項(xiàng)目并不一定意味著它更安全。

　　清晰度

　　通常，開(kāi)發(fā)人員在構(gòu)建軟件供應(yīng)鏈時(shí)不會(huì)手動(dòng)選擇單個(gè)版本，這些開(kāi)源組件已經(jīng)是正在使用或構(gòu)建的項(xiàng)目的一部分。正如《2020年軟件供應(yīng)鏈狀況報(bào)告》數(shù)據(jù)顯示，當(dāng)前80-90%的現(xiàn)代應(yīng)用程序是由開(kāi)源軟件組成。如果沒(méi)有實(shí)現(xiàn) SBOM 和適當(dāng)?shù)?DevSecOps 實(shí)踐，開(kāi)發(fā)人員和軟件工程團(tuán)隊(duì)可能無(wú)法知道這些易受攻擊的組件是否正在使用、提取或構(gòu)建。

　　自動(dòng)化

　　雖然當(dāng)前市面上有很多開(kāi)源自動(dòng)化工具，但其中很少有內(nèi)置安全功能。與上面的清晰度問(wèn)題類(lèi)似，這種自動(dòng)化可能會(huì)掩蓋潛在的易受攻擊的依賴(lài)關(guān)系，使開(kāi)發(fā)人員能夠在不知不覺(jué)中構(gòu)建具有已知漏洞的項(xiàng)目。

　　因此報(bào)告認(rèn)為，如果開(kāi)發(fā)人員們能夠樹(shù)立正確的安全開(kāi)發(fā)習(xí)慣，就可以極大的規(guī)避開(kāi)源安全風(fēng)險(xiǎn)。此外，安全業(yè)界當(dāng)前也已經(jīng)推出了針對(duì)許多軟件供應(yīng)鏈安全管理解決方案，但這些工具并沒(méi)有得到廣泛的應(yīng)用，這也成為了企業(yè)和組織在軟件供應(yīng)鏈安全風(fēng)險(xiǎn)面前無(wú)力應(yīng)對(duì)的重要原因。

　　每個(gè)開(kāi)源組件都可能包含漏洞，開(kāi)發(fā)人員必須跟蹤每個(gè)應(yīng)用每年可能發(fā)生的數(shù)千個(gè)更改。因此，錯(cuò)誤不可避免。對(duì)于開(kāi)發(fā)團(tuán)隊(duì)來(lái)說(shuō)，至關(guān)重要的是要了解過(guò)時(shí)、易受攻擊的開(kāi)源軟件的潛在風(fēng)險(xiǎn)，并考慮采用自動(dòng)化方法來(lái)減輕負(fù)擔(dān)。

　　應(yīng)用自動(dòng)化工具治理軟件供應(yīng)鏈安全風(fēng)險(xiǎn)迫在眉睫

　　安全419注意到，日前懸鏡安全發(fā)布《2022 DevSecOps行業(yè)洞察報(bào)告》中也提出，2022下半年，開(kāi)源軟件供應(yīng)鏈安全熱度將只增不減。懸鏡安全認(rèn)為，作為業(yè)務(wù)應(yīng)用程序的重要組成部分，開(kāi)源軟件已成為網(wǎng)絡(luò)空間的重要基礎(chǔ)設(shè)施。開(kāi)源軟件的大量使用導(dǎo)致軟件 供應(yīng)鏈越來(lái)越復(fù)雜化和多樣化，開(kāi)源軟件已成為影響軟件供應(yīng)鏈安全的關(guān)鍵因素之一。

　　隨著開(kāi)源組件使用的增加，風(fēng)險(xiǎn)面也在不斷膨脹，使用包含已知安全漏洞的開(kāi)源組件很有可能將安全缺陷引入到軟件產(chǎn)品中，并隨著軟件的使用而進(jìn)行擴(kuò)散，進(jìn)而對(duì)軟件供應(yīng)鏈造成巨大的安全威脅。

　　在針對(duì)開(kāi)源軟件供應(yīng)鏈風(fēng)險(xiǎn)治理的自動(dòng)化工具層面，懸鏡安全在報(bào)告中重點(diǎn)推薦了SCA軟件成分分析和SBOM軟件物料清單兩類(lèi)產(chǎn)品：

　　● SCA在查找通用和流行的庫(kù)和組件（尤其是開(kāi)放源代碼）方面最為有效，不僅可以識(shí)別第三方組件的開(kāi)源安全風(fēng)險(xiǎn)和漏洞，還可以提供每個(gè)組件的許可和漏洞信息，更先進(jìn)的工具能夠自動(dòng)化開(kāi)源選擇、批準(zhǔn)和跟蹤的整個(gè)過(guò)程，為開(kāi)發(fā)人員節(jié)省寶貴的時(shí)間并顯著提高他們的準(zhǔn)確性。

　　● SBOM目前也已經(jīng)成為了安全業(yè)界公認(rèn)的遏制軟件供應(yīng)鏈風(fēng)險(xiǎn)的最佳方案之一，SBOM 的推廣應(yīng)用可以增強(qiáng)軟件供應(yīng)鏈的可見(jiàn)性，極大地便利軟件組件溯源、軟件產(chǎn)品依賴(lài)關(guān)系梳理、已知漏洞的影響范圍判斷、及時(shí)發(fā)現(xiàn)惡意軟件滲透等，從而有力支撐軟件供應(yīng)鏈相關(guān)監(jiān)管政策規(guī)則的落地實(shí)施。

　　這兩類(lèi)產(chǎn)品也已成為行業(yè)在軟件供應(yīng)鏈安全方面的主流方案，包括懸鏡安全、酷德啄木鳥(niǎo)、安全玻璃盒等廠商均已打造了相應(yīng)的成熟方案，推薦了解。

更多信息可以來(lái)這里獲取==>>電子技術(shù)應(yīng)用-AET<<