Aqua Security 报告：供应链攻击大幅增加，软件开发环境的安全水平仍然很低

Aqua Security最近发布了一份供应链安全报告。该报告指出，从 2020 年到 2021 年，供应链攻击增长了 300%，软件开发环境的安全水平仍然很低。在供应链攻击威胁日益增加的情况下，谷歌和云原生计算基金会 (CNCF)也相继发布论文详细介绍提高供应链安全性的方法。

这份报告由 Aqua Security 旗下的供应链安全公司Argon Security编写。Aqua Security 总共历时六个月，调查了许多客户的供应链，确定了企业应该重点关注的三个风险领域。

第一个是使用易受攻击的软件包。该报告指出几乎所有商业软件中都会使用开源代码，这些代码可能含有漏洞，需要不断投入时间和精力来进行软件更新。主要有两种利用方式：利用现有漏洞和通过中毒的软件包（package poisoning）。最近的Log4j 漏洞的例子属于前者，而ua-parser.js 包的入侵则属于后面这种情况。

第二个是通过一些受损的管道工具。Codecov供应链漏洞就是一个例子。攻击者通过一个 Docker 映像破坏了 Codecov bash uploader，从而能够从 CI 过程中提取环境变量，进而暴露 Codecov 客户的敏感数据。

第三个与代码和工件完整性有关，包括将不良或敏感代码上传到源代码存储库。该团队在调查的客户环境中发现了许多问题，包括容器映像漏洞、将敏感数据发布到代码存储库以及代码质量问题。

该研究指出，大多数团队缺乏资源来应对这些挑战。Argon Security 首席营收官Eran Orzel说：“大多数 AppSec 团队缺乏充分应对供应链攻击风险的资源、预算和知识。由于需要开发人员和 DevOps 团队的合作，这就将问题进一步复杂化了。”

谷歌和云原生计算基金会 (CNCF) 都发布了帮助提高软件包完整性的指南。谷歌的软件工件供应链级别 (SLSA) 框架建立在 Borg 的二进制授权基础之上。它声明所有软件工件都应该是非统一的和可审计的。如果怀疑有攻击发生，理想情况下的自动化审计有助于调查。CNCF 的论文《软件供应链安全最佳实践》定义了供应链安全的四个关键原则：信任、自动化、清晰度和相互身份验证：每个步骤都必须是可信任的，使用自动化可以减少人为错误和配置漂移，应明确定义构建过程和环境，使用定期密钥轮换强化认证机制。