官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
- 关注
软件供应链安全行动,科技巨头成为重要角色。现在美国已形成科技巨头与政府、开源社区等机构密切合作的态势。
我国软件供应链安全同样有众多科技和网络安全企业加入,未来应从细化安全指南、进行安全技术攻关两个方面开展工作。
一、美国科技巨头积极参与软件供应链安全行动
2021年2月,安全研究人员利用开源生态安全机制上的漏洞,通过依赖混淆的软件供应链攻击方式,成功侵入了微软、苹果、PayPal、特斯拉、优步等35家国际大型科技公司的内网。
2022年4月,以色列安全公司发现高通和联发科芯片的音频解码器存在三个漏洞(CVSS评分为9.8、7.8和5.5),来源于11年前苹果公司开发的开源无损音频编解码器Apple Lossless。利用这些漏洞进行攻击,可获取受影响移动设备媒体、音频会话的访问权限及摄像头数据流等,漏洞影响范围包括数百万安卓设备。
2022年8月17日,苹果公司披露其旗下的iPhone手机、iPad平板电脑和iMac电脑等产品存在严重安全漏洞,攻击者可用来入侵用户设备、获取管理权限,甚至完全控制设备并运行其中的应用软件,几乎其所有产品都受影响。8月19日,苹果发布了更新版本。
类似针对科技巨头公司的软件供应链攻击频繁发生。科技巨头研发的产品具有使用普遍、关注度高等特点,如苹果手机、微软操作系统、谷歌搜索引擎等,从某种意义上讲,这些产品已成为信息“基础设施”;此外,科技巨头公司也是开源软件的重要贡献者。这些都使得他们特别受攻击者“青睐”,成为软件供应链安全攻击的主要受害群体之一。
鉴于以上状况,在近年来美国政府主导的各类加强软件供应链安全的行动中,科技巨头热情高涨、从不缺席,已经形成了与美国政府、开源社区等机构密切合作的态势。
下表是近一年来美国政府举办的主要软件供应链安全会议,科技巨头参与情况。
二、美国科技巨头在软件供应链安全行动中的角色
分析科技公司在上述软件供应链安全行动中的具体工作内容可以发现,他们的角色主要包括三个方面:
出点子
在政府机构制定相关政策和标准时,科技公司是最积极的建议提供者。例如,针对EO 14028 4(b)的研讨会之前征集的150多份意见书,几乎都是由科技和网络安全公司提供的。
其中,谷歌建议“安全开发实践结合平台、语言和框架的标准,以确保基于这些标准构建的所有应用程序的安全属性”、“将持续模糊测试集成到软件开发过程中,以有效防止引入漏洞,并通过自动化工具定期检查软件项目依赖项,确保其遵循良好安全实践,且没有已知漏洞”、“基于SLSA框架解决软件供应链完整性威胁,对SBOM进行部署和补充”。
微软建议“考虑采用与安全软件开发和供应链相关的ISO/IEC标准”、“关键软件安全措施指南应包括关键软件供应商的治理、漏洞管理计划、适当的配置,以及提高关键系统和资产可恢复性的技术及流程”、“从自动化和手工测试、需求范围、符合性验证、源代码检验的频率等方面考虑测试的最低要求”、“使用端到端的模型SCIM解决软件供应链完整性问题,并给出了SCIM的工作流程和应用示例”。
除此之外,在每次研讨会或峰会上,科技公司的代表积极出谋划策,既有技术层面的,也有战略层面的,例如,在网络安全峰会上,微软、谷歌、IBM、Travelers、Coalition等承诺将参与拜登宣布的由NIST开发改进的技术供应链安全性和完整性新框架;开源软件安全峰会Ⅰ期间,谷歌提交了确定关键开源项目,建立安全、维护和测试的基线,成立新组织以增强公共和私营部门支持等方面的提案;开源软件安全峰会Ⅱ上发布的《开源软件安全动员计划》,是Linux基金会和OpenSSF基于多家科技公司的意见完成的。
出票子
在开源软件安全峰会Ⅰ后的白宫新闻发布会上,OpenSSF总经理Brian Behlendorf曾表示:“我们来这里并非是从政府筹集资金的,我们未曾想直接从政府为任何人获得资金。”在公布的消息中,科技巨头确实承担了软件供应链安全防护一部分“金主”的角色。
网络安全峰会上,谷歌宣布将在未来五年内投入100亿美元,助力保护软件供应链,加强开源软件安全;微软宣布将在未来五年内投入200亿美元,从设计上加速集成网络安全并交付高级别安全解决方案,此外还将投入1.5亿美元的技术服务,用于美联邦、州、地方政府升级安全防护措施及网络安全培训合作。
而《开源软件安全动员计划》中更是明确了改善10大问题需投入的经费,并细化到每年。在拟投入的1.5亿美元经费中,亚马逊、爱立信、谷歌、英特尔、微软和VMWare 承诺提供3000万美元,亚马逊网络服务(AWS)承诺再追加1000万美元。
具体经费投入预算如下表所示:
从经费投入上可以看出,挖掘新漏洞和代码审查(方向6和7)等黑白盒分析方法依然是增强开源软件安全性的最重要手段,投入的经费最多;其次是数字签名和加固开源软件的构建、分发、管理等系统(方向3和10)。
出方子
科技公司还是软件供应链安全技术、方法和解决方案的主要贡献者,他们也在积极开展相关措施的落地。
在网络安全峰会上,苹果宣布将推动技术供应链的持续安全改进,包括与供应商(美国国内为9000余家)一起推动多因子认证、漏洞修复、事件日志记录和事件响应的大规模应用等;亚马逊宣布在不收取额外费用的情况下,将多因子认证设备提供给所有AWS用户,以防御钓鱼攻击、密码窃取在内的多种网络安全威胁。
《开源软件安全动员计划》方向2和方向7中风险评估指标和组件关键性评估的数据来源,很大程度上基于OpenSSF已有的“记分卡(Scorecards)”和“开源项目关键性评分(Criticality Score)”项目,它们能够分别对开源项目的安全状况、依赖引入的风险、影响度及重要性等特性进行分析和评估,并且还提供了自动化工具。两个项目的发布者包括谷歌、Github、OpenSSF等。
计划方向3的数字签名,拟基于SigStore,一款工件签名、验证的自动化工具来实施。Sigstore代码签名项目于2021年3月推出,是Linux基金会为了便于确认软件的来源和构建方式,实现完整性保护,联合谷歌、Red Hat和普渡大学发起的,一年多来,Sigstore已集成进多个社区。
计划方向7的方案中提到,拟委托知名的第三方安全科技公司对关键开源项目进行代码安全审查,并发布审计结果报告。
三、对我国软件供应链安全工作协调机制的启示
在2021年8月25日的网络安全峰会上,美总统拜登宣布了将由NIST开发改进的技术供应链安全性和完整性新框架,NIST随即启动了“改善供应链网络安全的国家倡议(NIICS)”,这是一项广泛的公私合作伙伴机制,旨在为技术的开发者、提供者和需求者提供解决供应链中网络安全风险的工具和指导。
目前NIICS仍处于初期的形成阶段,但NIST已成立了“软件和供应链保障(SSCA)”、“联邦网络供应链风险管理(C-SCRM)”等论坛和“国家网络安全卓越中心(NCCoE)”等兴趣社区来服务于这一倡议。
近年来,我国在软件供应链安全方面也成立了相应的社区、论坛等组织,有众多高科技和网络安全企业的加入,但目前大都处于战略研究和标准制定阶段。
建议这些组织可依托相关科技公司的力量,从两个方面开展未来的工作:
细化软件供应链安全方面的指南和最佳实践。
在目前制定的标准的基础上,充分讨论,结合企业具体需求、工作经验和成功案例,编制通用的或面向行业的软件供应链安全指南和最佳实践,为软件供需双方提供管理和技术方面的详细指导。
组织科技公司开展软件供应链安全技术攻关。
在指南和最佳实践的框架下,梳理出需要重点突破和攻关的技术难点和痛点,如SBOM的自动化构造、基于依赖关系的漏洞分析等,组织有实力的科技企业集中联合攻关,为软件供需方提供工具和解决方案。
关于作者
董国伟,虎符智库专家,奇安信集团代码安全实验室高级专家,博士,从事网络安全、软件安全、代码审计和洞分析相关工作近20年。
代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com
推荐阅读
Linux和谷歌联合推出安全开源奖励计划,最高奖励1万美元或更多
开源软件 LibreOffice 修复多个与宏、密码等相关的漏洞
Juniper Networks修复200多个第三方组件漏洞
PyPI 仓库中的恶意Python包将被盗AWS密钥发送至不安全的站点
开源项目 Parse Server 出现严重漏洞,影响苹果 Game Center
奇安信开源软件供应链安全技术应用方案获2022数博会“新技术”奖
热门PyPI 包 “ctx” 和 PHP库 “phpass” 长时间未更新遭劫持,用于窃取AWS密钥
趁机买走热门包唯一维护人员的邮件域名,我差点发动npm 软件供应链攻击
和GitHub 打官司?热门包 SheetJS出走npmjs.com转向自有CDN
不满当免费劳力,NPM 热门库 “colors” 和 “faker” 的作者设无限循环
NPM流行包再起波澜:维护人员对俄罗斯用户发特定消息,谁来保证开源可信?
200多个恶意NPM程序包针对Azure 开发人员,发动供应链攻击
NPM 修复两个严重漏洞但无法确认是否已遭在野利用,可触发开源软件供应链攻击
热门NPM库 “coa” 和“rc” 接连遭劫持,影响全球的 React 管道
速修复!热门npm 库 netmask 被曝严重的软件供应链漏洞,已存在9年
Pwn2Own大赛回顾:利用开源服务中的严重漏洞,攻陷西部数据My Cloud PR4100
热门开源后端软件Parse Server中存在严重的 RCE ,CVSS评分10分
开源组件11年未更新,严重漏洞使数百万安卓按设备易遭远程监控
- 0 文章数
- 0 关注者