2022年將成為軟件供應鏈安全元年

如果說2020年是人們敏銳地意識到消費品供應鏈壓力的一年，那么2021年是軟件供應鏈安全意識興起的一年。在2021年發生的令人關注的網絡攻擊事件中，包括美國一些政府機構在內的數以千計的客戶下載了受損的SolarWinds更新軟件而受到影響。

SolarWinds供應鏈攻擊事件并不是孤例。事實上，軟件供應鏈中的弱點在最近發生的Log4j漏洞事件中非常明顯。Log4j是一個廣泛使用的開源Java日志框架，該漏洞使數以萬計的應用程序(從數據存儲服務到在線視頻游戲)面臨風險。

由于在生產中運行了大量輕量級維護代碼，因此軟件供應鏈對于Log4j等安全漏洞利用的時機已經成熟。這是開源中的一個熱門話題，因為很多人使用輕量級維護的軟件庫，將它們投入生產，然后再也不打補丁。

這就是為什么說2022年將成為軟件供應鏈安全元年的原因。

以下是行業專家的預測，企業將在2022年努力加強軟件供應鏈安全，并應該進行的三種實踐。

(1)深入探索容器鏡像distroless

在2022年，企業應該考慮標準化，并精心修改他們的容器鏡像，其中包括發行版。事實上，有些人甚至會說企業應該“不受干擾”。

在distroless模型中，應用程序仍然打包在容器鏡像中，但只保留了操作系統的最小痕跡。這個想法是通過盡可能多地剝離操作系統(例如刪除包管理器、庫和外殼)而減小網絡攻擊面。

但是，重要的是要了解，就像無服務器計算中采用了服務器一樣，無發行版中有發行版(發行版較少)。這可能就是distroless模型的真正價值，即提供一個框架來仔細挑選需要的和不需要的資源，而不是不加選擇地專注于減小單個容器映像的大小。

(2)檢查容器鏡像和注冊表

軟件從未像現在這樣復雜，如果企業不了解正在部署的所有內容，就會遇到問題。隨著容器使用的增加，企業需要考慮他們如何使用和部署容器鏡像。換句話說，需要從受信任的地方下載受信任的東西。

企業可以抓住機會，以更快的速度生產產品。或者非常小心謹慎，保證不會成為下一個SolarWinds網絡攻擊事件的受害者。

事實上，一些企業在從容器注冊表中提取軟件時有一個受到控制的安全環境。企業可以讓開發人員從他們想要的任何地方撤出。

這有點像讓每個承包商管理自己的供應鏈合同，但如果事先考慮到惡意攻擊，那就太可怕了。當涉及到容器供應鏈時，很容易進入被黑客入侵的鏡像。因此，企業需要從受信任的供應商處獲取容器映像，或確保了解(并且可以從頭開始重建)供應鏈中的每個容器映像。

(3)評估SLSA

預測企業將開始探索并實施軟件的供應鏈級別(SLSA)，SLSA 是一個保護軟件供應鏈完整性的框架。

SLSA基于谷歌公司的Borg內部二進制授權(BAB)平臺，這是一種內部部署的強制檢查，旨在確保生產軟件和配置得到適當的審查和授權。谷歌公司指出，采用BAB有助于降低內部風險、防止網絡攻擊，并支持生產系統的一致性。

谷歌公司聲稱，SLSA的目標是通過防范網絡威脅來改善行業安全狀況，尤其是在開源環境中。SLSA還讓消費者安心地了解他們使用的軟件的安全狀況。

加州大學伯克利分校國際計算機科學研究所的安全研究員Nick Weaver說：“供應鏈攻擊很可怕，因為它們真的很難處理，而它們明確表示企業可以信任整個生態系統，信任所有代碼在其機器的供應商，信任每個供應商的供應商。”

谷歌公司發布了一個SLSA概念證明，允許用戶在構建組件的同時創建和上傳出處，從而達到SLSA級別1。在此建議任何軟件開發商都要查看這個概念證明。

永遠不要打破軟件供應鏈

企業在過去幾年中經歷了很多事件，軟件供應鏈攻擊激增也加大了挑戰，因為企業應對新冠疫情，從而忽略了供應鏈安全。當企業計劃如何度過疫情時，保護軟件供應鏈應該是首要任務。

如果不能保證軟件供應鏈的安全，企業和他們的客戶一直處在小心翼翼的狀態。當然，保障供應鏈安全的理念是，其安全取決于最薄弱的環節，這意味著沒有任何一家企業可以靠自己來保護軟件供應鏈。

在2022年，考慮可以添加到現有最佳實踐中的策略和技術非常重要。這種連續分層將幫助企業在對抗軟件供應鏈攻擊時保持最新狀態。

人們一直在提防著下一個“黑天鵝”事件——看不見的威脅。對于這種情況，實際上只有一個全面防御措施：密切關注供應鏈!