“机密蔓延”成软件供应链安全的梦魇
聚焦源代码安全,网罗国内外最新资讯!
专栏·供应链安全
数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。
随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。近年来,针对软件供应链的安全攻击事件一直呈快速增长态势,造成的危害也越来越严重。
为此,我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯,分析供应链安全风险,提供缓解建议,为供应链安全保驾护航。
注:以往发布的部分供应链安全相关内容,请见文末“推荐阅读”部分。
GitGuardian 公司发布报告提醒称,软件供应链中存在一个重大的未被注意到的薄弱链条:有价值企业机密被公开暴露在企业仓库中,这些机密包括API 密钥、用户名和密码以及安全证书。
虽然被泄机密的攻陷已成为多起软件供应链攻击事件的中心焦点,但该公司指出机密蔓延遍布各处且以令人震惊的速度增长。
GitGuardian 公司发布新报告记录了其查找被泄企业机密的工作,结果发现一家拥有400名开发人员的企业将在仓库和commit 中发现约1050次唯一机密泄露情况。更糟糕的是,从当前的安全与开发人员比率来看,该公司认为“没有办法管理爆炸式的现代代码中的数字化认证凭据泄露问题”。
报告提到,“平均13个不同的地方就可检测到一个机密,修复工作远远超出了当前的 AppSec 能力:安全和开发人员的比率是1:100,即1个应用安全工程师平均年要处理3413个机密暴露情况。”
获得4400万美元风投的法国创业公司 The Paris 致力于解决机密蔓延问题,它表示,这是安全工程师正在经历的“噩梦”。
GitGuardian 公司指出,“凭据对于安全工程师而言就是噩梦,因为凭据可能存在任何地方:构建、监控或运行时日志、栈跟踪和 git 历史。数据显示公开暴露在 GitHub 上的机密范围比例是2020年的两倍还多。”2021年运行扫描后,GitGuardian 公司发现暴露的600多万个机密,包括所有主流公有云基础设施的IAM凭据,“平均来说,在1000个commit 中就有1个暴露至少一个机密,比2020年增长了50%。”
Docker Hub 镜像中的敏感信息泄露
除了 GitHub 外,GitGuardian 公司还在报告中呼吁注意泄露在 Docker Hub 镜像中的敏感信息。
该公司指出,“组成Docker 镜像的层像很多其它攻击面一样可轻易被排除在安全边界之外。对于攻击者而言,这是找到访问向量的一个机会,就像 Codecov 事件一样。”2021年4月,Codecov 软件供应链攻击影响很多硅谷企业。
报告提醒称,“如果说这些数据可得出一个结论,那么他就是补救实时事件和调查git历史中检测到的泄露事件所需的工作量远远超出了当前应用安全团队的能力。”
完整报告可见:https://res.cloudinary.com/da8kiytlc/image/upload/v1646148528/GitGuardian_StateOfSecretsSprawl2022.pdf
代码卫士试用地址:https://codesafe.qianxin.com/
开源卫士试用地址:https://oss.qianxin.com
推荐阅读
在线阅读版:《2021中国软件供应链安全分析报告》全文
Node-ipc 热门包作者投毒“社死‘’,谁来保护开源软件供应链安全?
因供应商遭不明网络攻击,丰田汽车宣布停产
Linux Netfilter 防火墙模块爆新漏洞,攻击者可获取root权限
丰田汽车顶级供应商 Denso 疑遭勒索攻击,被威胁泄露商业机密
漏洞Dirty COW:影响Linux系统以及安卓设备
第三方支付处理厂商软件有漏洞,日本美容零售商Acro 10万支付卡信息遭攻击
Linux 内核 cgroups 新漏洞可导致攻击者逃逸容器
谷歌宣布 Linux Kernel、Kubernetes 0day 漏洞奖励加倍
Apache Cassandra 开源数据库软件修复高危RCE漏洞
2021年软件供应链攻击数量激增300%+
热门开源CMS平台 Umbraco 中存在多个安全漏洞,可使账户遭接管
详细分析开源软件项目 Ajax.NET Professional 中的RCE 漏洞(CVE-2021-23758)
SAP 严重漏洞可导致供应链攻击
Apache PLC4X开发者向企业下最后通牒:如不提供资助将停止支持
Apache 软件基金会:顶级项目仍使用老旧软件,补丁作用被削弱
美国商务部发布软件物料清单 (SBOM) 的最小元素(上)
美国商务部发布软件物料清单 (SBOM) 的最小元素(中)
美国商务部发布软件物料清单 (SBOM) 的最小元素(下)
NIST 发布关于使用“行政令-关键软件”的安全措施指南
NIST 按行政令关于加强软件供应链安全的要求,给出“关键软件”的定义及所含11类软件
SolarWinds 攻击者再次发动供应链攻击
美国“加强软件供应链安全实践的指南” (SSDF V1.1草案) 解读来了
软件供应链安全现状分析与对策建议
“木马源”攻击影响多数编程语言的编译器,将在软件供应链攻击中发挥巨大作用
GitHub 在 “tar” 和 npm CLI 中发现7个高危的代码执行漏洞
流行的 NPM 包依赖关系中存在远程代码执行缺陷
速修复!热门npm 库 netmask 被曝严重的软件供应链漏洞,已存在9年
Npm 恶意包试图窃取 Discord 敏感信息和浏览器文件
微软“照片”应用Raw 格式图像编码器漏洞 (CVE-2021-24091)的技术分析
SolarWinds 供应链事件后,美国考虑实施软件安全评级和标准机制
找到软件供应链的薄弱链条
GitHub谈软件供应链安全及其重要性
揭秘新的供应链攻击:一研究员靠它成功入侵微软、苹果等 35 家科技公司
开源软件漏洞安全风险分析
开源OS FreeBSD 中 ftpd chroot 本地提权漏洞 (CVE-2020-7468) 的技术分析
集结30+漏洞 exploit,Gitpaste-12 蠕虫影响 Linux 和开源组件等
限时赠书|《软件供应链安全—源代码缺陷实例剖析》新书上市
热门开源CI/CD解决方案 GoCD 中曝极严重漏洞,可被用于接管服务器并执行任意代码
GitKraken漏洞可用于盗取源代码,四大代码托管平台撤销SSH密钥
因服务器配置不当,热门直播平台 Twitch 的125GB 数据和源代码被泄露
彪马PUMA源代码被盗,称客户数据不受影响
原文链接
https://www.securityweek.com/secrets-sprawl-haunts-software-supply-chain-security
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
“机密蔓延”成软件供应链安全的梦魇相关推荐
- 超 8 成软件存已知高危开源漏洞,奇安信发布《2021 中国软件供应链安全分析报告》
编辑 | 宋 慧 出品 | CSDN云计算 头图 | 付费下载于东方IC 2020年底,SolarWinds 遭受的大规模网络攻击,使得美国和多国政府在内的 18000+ 机构被影响.几乎每个月,软件 ...
- 奇安信专家:近八成软件存开源漏洞 供应链需全生命周期安全防护
聚焦源代码安全,网罗国内外最新资讯! 专栏·供应链安全 数字化时代,软件无处不在.软件如同社会中的"虚拟人",已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为 ...
- Kubernetes 时代的安全软件供应链
点击下载<不一样的 双11 技术:阿里巴巴经济体云原生实践> 本文节选自<不一样的 双11 技术:阿里巴巴经济体云原生实践>一书,点击上方图片即可下载! 作者 汤志敏 阿里云 ...
- 谷歌和GitHub 联手提出新方法,提振软件供应链安全
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士团队 专栏·供应链安全 数字化时代,软件无处不在.软件如同社会中的"虚拟人",已经成为支撑社会正常运转的最基本元素之一,软件的 ...
- FIN7 正在转向密码重置和软件供应链攻击
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士团队 专栏·供应链安全 数字化时代,软件无处不在.软件如同社会中的"虚拟人",已经成为支撑社会正常运转的最基本元素之一,软件的 ...
- 从主流安全开发框架看软件供应链安全保障的落地
本文3409字 阅读约需10分钟 从SolarWinds攻击到Log4j漏洞,再到近期以反战名义对开源软件供应链投毒事件,软件供应链安全问题愈演愈烈,因其带来的巨大危害引发全球关注.寻求有效.可落 ...
- Node-ipc 热门包作者投毒“社死‘’,谁来保护开源软件供应链安全?
聚焦源代码安全,网罗国内外最新资讯! 专栏·供应链安全 数字化时代,软件无处不在.软件如同社会中的"虚拟人",已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为 ...
- 微软谷歌出资500万美元推出 Alpha-Omega 项目,提升软件供应链安全
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 微软和谷歌投资500万美元,助力开源安全基金会 (OpenSSF) 推出 Alpha-Omega 项目,改进开源软件生态系统的安全. 美国政府和 ...
- 2021年软件供应链攻击数量激增300%+
聚焦源代码安全,网罗国内外最新资讯! 作者:Help Net Security 编译:代码卫士 专栏·供应链安全 数字化时代,软件无处不在.软件如同社会中的"虚拟人",已经成为支 ...
最新文章
- etcd 笔记(02)— etcd 安装(apt 或 yum 安装 、二进制包安装、Docker 安装 etcd、etcd 前端工具etcdkeeper)
- pandas使用groupby函数、agg函数获取每个分组聚合对应的均值(mean)实战:计算分组聚合单数据列的均值、计算分组聚合多数据列的均值
- Opencv 使用cv2改变视频分辨率和尺寸
- 设置tomcat管理员的用户名和密码
- 系统要关闭,可我程序还有事要处理?
- NewRandomAccessFile failed to Create/Open问题解决
- phpcms v9的url优化
- script的defer和async
- DevExpress使用技巧总结
- TLB的作用及工作原理,如何查看TLB miss?
- 分布式日志平台--ELKStack实践
- DSO missing from command line原因及解决办法
- Nginx SSL 性能调优
- python学习(一)----基础语法
- 什么是反射,为什么要用反射,反射的知识讲解
- 骨龄测试软件app_测测app下载-工具包-测测下载v1.0.11 安卓版-西西软件下载
- 如何选择一款好的倾斜摄影相机
- word里如何设置目录页码
- 【雕爷学编程】Arduino动手做(108)---GY-521三轴模块
- FAT32、NTFS、exFAT的区别
热门文章
- Mongo之架构部署(Replica Sets+Sharding)
- Java排序之归并排序
- Activemq判断队列存活脚本(一)
- Linux Watchdog Test Program
- mac php gd(mac osx 10.9.4)
- 关于Windowsn 7因验证未通过被视为“非正版”出现“黑屏”的应急处理预案
- 装完Ubuntu 9.10后要干的事
- hadoopshpython_让python在hadoop上跑起来
- 使用AIDL实现进程间的通信
- 使用FragmentTabHost+Fragment+viewpager 实现滑动分页