Безопасность цепочки поставок программного обеспечения шире, чем SolarWinds и Log4J • TechCrunch

SolarWinds и Log4j сделали вопросы безопасности цепочки поставок программного обеспечения предметом пристального внимания и пристального внимания как бизнеса, так и правительства.

SolarWinds был ужасающим примером того, что может пойти не так с целостностью систем сборки программного обеспечения: российские спецслужбы захватили систему сборки программного обеспечения SolarWinds, тайно добавили лазейку в часть программного обеспечения и взломали компьютерные сети тысяч клиентов. Log4J олицетворяет проблему ввода-вывода мусора в программном обеспечении с открытым исходным кодом: если вы получите незащищенный код из Интернета, будут ошибки, и некоторые из этих ошибок можно будет использовать.

Однако меньше всего говорят о том, что эти атаки представляют собой лишь часть различных возможных компрометаций цепочки поставок программного обеспечения.

Давайте рассмотрим некоторые из менее известных, но не менее серьезных типов атак на цепочки поставок программного обеспечения.

несанкционированные подтверждения

Этот класс атак описывает неавторизованного пользователя, который ставит под угрозу ноутбук разработчика или систему управления исходным кодом (например, GitHub), а затем отправляет код.



Один особенно известный пример произошел, когда злоумышленник скомпрометировал сервер, на котором размещен язык программирования PHP, и вставил вредоносный код в сам язык программирования. Несмотря на быстрое обнаружение, код, если бы его не исправили, позволил бы широко распространить несанкционированный доступ к большим участкам Интернета.

Поставщики систем безопасности продают несбыточную мечту о том, что продукты «сканеры» и «анализ состава программного обеспечения» могут обнаруживать все критические уязвимости на уровне программных артефактов. они не

К счастью, недавно разработанные инструменты, такие как Sigstore и gitsign, снижают вероятность такого типа атак и ущерб в случае их возникновения.

Компрометация сервера публикации

Недавно злоумышленник, предположительно китайские спецслужбы, взломал серверы, распространяющие китайское приложение для обмена сообщениями MiMi, заменив обычное приложение для чата вредоносной версией. Вредоносная программа позволяла злоумышленникам удаленно отслеживать и контролировать программное обеспечение чата.

Эта атака связана с тем, что индустрия программного обеспечения не относилась к критическим точкам в цепочке поставок программного обеспечения (таким как серверы публикации или системы сборки) с той же тщательностью, что и к производственным средам и периметрам безопасности.net.

Атаки на репозиторий пакетов с открытым исходным кодом

Начиная с индекса пакетов Python, в котором хранятся пакеты Python, и заканчивая npm, мировое программное обеспечение теперь буквально зависит от больших репозиториев пакетов программного обеспечения, эквивалентных разработчикам с открытым исходным кодом Apple Магазин приложений.