聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

专栏·供应链安全

数字化时代，软件无处不在。软件如同社会中的“虚拟人”，已经成为支撑社会正常运转的最基本元素之一，软件的安全性问题也正在成为当今社会的根本性、基础性问题。

随着软件产业的快速发展，软件供应链也越发复杂多元，复杂的软件供应链会引入一系列的安全问题，导致信息系统的整体安全防护难度越来越大。近年来，针对软件供应链的安全攻击事件一直呈快速增长态势，造成的危害也越来越严重。

为此，我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯，分析供应链安全风险，提供缓解建议，为供应链安全保驾护航。

注：以往发布的部分供应链安全相关内容，请见文末“推荐阅读”部分。

1974年，计算机科学家 Jerry Saltzer 曾指出，“系统的每个程序和每个权限用户都应当使用完成工作所必需的最小权限。”

VMware 公司现代应用平台首席技术官 James Watters 在今年举办的“DevOps 全天大会 (All Day DevOps)” 上指出，近半个世纪后，最小权限原则仍然在软件开发中起着非常重要的作用。他指出，虽然在多样化的多云环境中越来越难以管理风险，但 DevOps 团队现在拥有强大的技术途径来遵循最小权限模式。

Watters 是大会的主旨演讲人之一，他表示，自动化和“运行时行为的根本改变“都减少了总体系统权限，而这在20世纪70年代是不可能办到的。VMware 公司的高级副总裁兼首席技术官 Kit Colbert 表示，对访问控制的结构化操作越多，开发人员不慎将自己暴露到风险之中的可能性就越小，也能够阻止恶意人员的入侵。Cobert 还提到，”操作系统中的用户身份概念“根本不存在开放互联网中（IP地址不算），而这正是 YubiKey 通过”以物理密钥精装身份“改进web编程来解决的。

短生命周期构建

短时性是大会演讲中另外一个被反复提到的词。

Watters 表示，“系统工程的新边界是如何通过权限使既定进程的生命周期足够短。Equifax 事件后，所有人突然都更加极度谨慎地对待系统中可能存在的长期共享机密问题。“

VMware 公司的安全、合规和隐私工程副总裁 Ashok Banerjee 指出，短生命周期构建尤为重要，“因为在生产系统中，恶意人员一般不会在虚拟机中持久地开展恶意活动，因为我们不会修复昨天所使用虚拟机中的漏洞。“ 他还指出 ”我们会扔掉旧虚拟机并构建一个新的。因此，必须以某种方式改变配置。基于基础设施即代码而构建的短生命周期环境不允许这么做，因此它是非常强大的工具。“

攻击构建管道

Bannerjee指出，从针对开源代码的依赖混淆攻击到针对软件交付阶段的程序包镜像攻击，CI/CD 管道的每一层都在遭受攻击。但在中间阶段即构建管道的攻击，可能要比针对源代码系统的攻击更加糟糕，“因为恶意人员不喜欢版本历史“。例如，SolarWinds 攻击事件，攻击者通过交换构建系统上的文件更好地伪装自己的活动。

攻击者一般会在首次攻击后等待两周的时间，“这样你无法将新行为和生产安装程序关联在一起。即使它们每周都在重新部署，但你仍然能够在它们造成损失之前将其清除。”

蝴蝶效应

谈到最关心的 DevSecOps 现状问题，Bannerjee 提到了“措手不及的补丁，等待12小时可能太久了。“

Watters 提到了践行代码变更一对多范式的缺点。他表示，“我们已经创建了云自动化宇宙，向并非后台系统的大量机器推出微小变更，而这些变更实际上正在运行我们的经济。在软件供应链中扇动翅膀的蝴蝶可以引发台风。”幸运的是，Equifax 和 SolarWinds 攻击事件使得信息安全行业成为“现代软件操作的核心工程学科之一”。

Watters 提到了另外一个前景广阔的开发：管道 “被分解为各种角色”，将为缺少人力资源的组织机构“把DevOps 方法民主化“。Colbert 展望了从架构上消除所有的潜在风险或漏洞类型。他指出，正确地做事，实现“根本性的安全”，而不仅仅是针对大量威胁时“玩打鼹鼠”。

推荐阅读

“木马源”攻击影响多数编程语言的编译器，将在软件供应链攻击中发挥巨大作用

GitHub 在 “tar” 和 npm CLI 中发现7个高危的代码执行漏洞

流行的 NPM 包依赖关系中存在远程代码执行缺陷

速修复！热门npm 库 netmask 被曝严重的软件供应链漏洞，已存在9年

Npm 恶意包试图窃取 Discord 敏感信息和浏览器文件

微软“照片”应用Raw 格式图像编码器漏洞 (CVE-2021-24091)的技术分析

速修复！热门npm 库 netmask 被曝严重的软件供应链漏洞，已存在9年

SolarWinds 供应链事件后，美国考虑实施软件安全评级和标准机制

找到软件供应链的薄弱链条

GitHub谈软件供应链安全及其重要性

揭秘新的供应链攻击：一研究员靠它成功入侵微软、苹果等 35 家科技公司

开源软件漏洞安全风险分析

开源OS FreeBSD 中 ftpd chroot 本地提权漏洞 (CVE-2020-7468) 的技术分析

集结30+漏洞 exploit，Gitpaste-12 蠕虫影响 Linux 和开源组件等

限时赠书|《软件供应链安全—源代码缺陷实例剖析》新书上市

热门开源CI/CD解决方案 GoCD 中曝极严重漏洞，可被用于接管服务器并执行任意代码

GitKraken漏洞可用于盗取源代码，四大代码托管平台撤销SSH密钥

因服务器配置不当，热门直播平台 Twitch 的125GB 数据和源代码被泄露

彪马PUMA源代码被盗，称客户数据不受影响

原文链接

https://portswigger.net/daily-swig/all-day-devops-2021-securing-the-software-supply-chain-with-ephemerality-and-the-least-privilege-principle

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

 觉得不错，就点个 “在看” 或 "赞” 吧~