与 2020 年相比,2021 年的软件供应链攻击增长了 300% 以上,因为攻击者专注于开源漏洞和中毒,代码完整性问题,并利用软件供应链流程和供应商信任来分发恶意软件或后门。
根据Aqua Security的 Argon Security部门的 2021 年软件供应链安全审查,软件开发环境的安全性仍然很低,而且重要的是,每家被评估的公司都存在漏洞和错误配置,可能使他们面临供应链攻击。辽宁根据部分重点企业和园区的产业现状和数字化赋能要求,在网络,平台,安全和数字化改造四个方向,梳理出1453个应用场景需求,其中93%左右的场景,集中在企业内网和数字化改造;7%左右的场景,集中在工业互联网平台和安全体系建设。。
Argon 客户成功和销售高级总监 Eran Orzel 表示:过去一年的攻击数量和单一攻击的广泛影响凸显了应用程序安全团队面临的巨大挑战 不幸的是,大多数团队缺乏应对供应链攻击的资源,预算和知识此外,要解决这个攻击向量 AppSec 团队需要开发和 DevOps 团队的合作,你可以理解为什么这是一个艰难的过程要克服的挑战
该报告确定了供应链风险的三个特定领域使用带有易受攻击的开源代码的软件包,受损的管道工具以及将不良代码上传到源代码存储库
开源代码是几乎所有商业软件的一部分,并且许多正在使用的软件包都存在漏洞,升级到更安全版本的过程需要开发和 DevOps 团队的努力。
攻击者可以利用 CI/CD 管道基础设施中的特权访问,错误配置和漏洞,从而提供对关键 IT 基础设施,开发流程,源代码的访问代码和应用程序。
将不良代码上传到源代码存储库会直接影响工件质量和安全状况这里的常见问题包括代码中的敏感数据,代码质量和安全问题,基础设施即代码问题,容器映像漏洞和错误配置
软件供应链流程是现代应用程序开发生命周期的核心组成部分让这种广泛的攻击向量保持开放,可能会严重降低公司的应用程序安全状况,可能会暴露敏感数据并在运行时为应用程序创建额外的入口点,奥泽尔补充道在许多情况下,安全团队无法看到这个过程,直到为时已晚,因为大多数公司在 CI/CD 工具和过程中没有预防能力
。
