“随着容器、微服务等新技术的快速迭代,开源软件已成为业界主流形态,开源和云原生时代的到来导致软件供应链越来越趋于复杂化和多样化,网络攻击者开始采用软件供应链攻击作为击破关键基础设施的的重要突破口,从而导致软件供应链的安全风险日益增加。”——摘自子芽新书《DevSecOps敏捷安全》
年8月2日,在第十届互联网安全大会(ISC)软件供应链安全治理与运营论坛上,作为论坛出品人,悬镜安全创始人CEO、OpenSCA开源社区创始人子芽以“云原生场景下软件供应链风险治理技术浅谈”为主题,分享其对软件供应链安全领域的深刻洞察。
图1子芽从四个方面分享云原生场景下的软件供应链风险治理技术
以下是子芽“出品人洞察”的全部内容:
后疫情时代,企业上云、组织上云已经成为重要趋势。今年的RSAC创新沙盒大赛十强中有四家是云原生安全赛道的厂商。我将从以下四个方面与诸位共同探讨云原生场景下的软件供应链风险治理技术。
云原生时代面临的应用安全风险
数字经济时代,关于软件应用有三个安全共识:
1.软件已成为支撑社会运转的基本组件,数字化时代,一切皆可编程,软件定义万物,是新一代信息技术的灵魂;
2.现代软件都是组装的而非纯自研,近五年来,开源代码在数字化应用中所占的比例由早期的40%增至78%-90%,混源开发已成为主要的开发模式;
3.凡是人为编写的代码就一定有未被发现的安全漏洞,平均每千行代码就会出现2-40个逻辑性缺陷,每个逻辑性缺陷或若干个逻辑性缺陷将最终导致一个漏洞。
何为软件供应链?软件供应链泛指一家企业和组织开展数字化业务所依赖的软件,包括研发、运营、供应等各项活动所依赖的软件以及与软件评估、生产、分发等相关的任何活动,主要包括三个方面:上游的软件开发方;中间的软件供应方,主指供应商及运营服务商;下游的软件使用方。
从云原生时代软件供应链技术的跃迁式演进中,不难发现四个新的变化:
1.新制品:软件成分从早期的闭源到混源再到开源主导;
2.新发布:开发过程从传统的瀑布式到敏捷再到DevOps研运一体化;
3.新技术:数字化应用架构从早期的单体应用到SOA(Service-OrientedArchitecture,面向服务的架构)再到微服务;
4.新环境:数字化基础设施从传统的IDC物理机到虚拟化再到容器化。
也正是这四个新变化,促使DevSecOps成为云安全发展中的变革型技术,也使得软件供应链安全风险面有一定的延展,增加了镜像风险、微服务风险、运行风险、基础设施风险和网络安全风险这五类安全威胁。值得一提的是,微服务风险中的异常行为代码已然成为继通用漏洞、业务逻辑漏洞、第三方开源成分漏洞之后,第四大数字化应用风险。
近年来,里程碑式的软件供应链攻击事件频发,从年的心脏滴血漏洞即开源软件漏洞,到年Xcode开发工具被污染,再到去年年末的Log4j2.x开源框架漏洞,在此之间还有厂商预留后门、升级劫持、恶意程序等不同类型的软件供应链攻击事件发生。
可以通过软件供应链的不同环节,对软件供应链面临的主要安全风险进行分类:1.在软件开发环节,不仅要