为强化软件供应链安全,谷歌启动 GUAC 开源项目
10月20日,Google宣布正在为名为Graph for Understanding Artifact Composition(GUAC)的开源项目寻找感兴趣的贡献者,以此进一步强化软件供应链安全。 谷歌Brandon Lum、Mihai Maruseac 和 Isaac Hepworth称,GUAC开源项目将可以解决整个生态系统中迅速发展的工作所产生的需求,以生成软件构建、安全和依赖元数据。GUAC旨在让每个组织都可以只有访问和调用这些信息,正在发挥开源的共享和民主的特性。 当下,软件供应链安全已成为网络安全领域内一大重点因素,攻击者频频利用软件供应链中某个使用广泛的弱点,掀起令全球企业为之侧目的网安大事件。例如曾经肆虐一时的SolarWinds事件和近期发生的Log4Shell漏洞事件。 在这些供应链安全事件中,攻击中以一点为突破,随后沿着供应链进行入侵并大肆窃取敏感数据、植入恶意软件、并控制属于下游客户的系统。 谷歌多手段强化供应链安全 在启动GUAC开源项目之前,谷歌在供应链安全方面已经有了多个动作。 2021年,谷歌发布了一个名为Supply chain Levels for Software Artifacts(SLSA)的框架,旨在确保软件包的完整性并防止未经授权的修改。此外它还推出了安全记分卡的更新版本,该版本识别了第三方依赖项可能给项目带来的风险,允许开发人员就接受易受攻击的代码或考虑其他替代方案做出明智的决定。 2021年8月,谷歌进一步推出软件供应链漏洞赏金计划,以识别横跨多个项目的安全漏洞,其中包括赫赫有名的Angular、Bazel、Golang、Protocol Buffers 和 Fuchsia。 GUAC 是谷歌为加强供应链健康所做的最新努力。它通过将来自公共和私人来源的软件安全元数据聚合成一个“知识图”,并以此回答有关供应链风险的问题。支撑此架构的数据来自Sigstore、GitHub、开源漏洞( OSV )、Grype和Trivy等,以在漏洞、项目、资源、开发人员、工件和存储库之间建立有意义的关系。 谷歌公开表示,查询知识图可以推动更高级别的组织成果,例如审计、政策、风险管理,甚至开发人员的协助。换句话说,这个想法是将项目与其开发人员、漏洞和相应的软件版本、工件和它所属的源存储库之间的不同点联系起来。 因此,其目的不仅使组织能够确定它们是否受到特定漏洞的影响,还可以估计供应链受到损害时的爆炸半径。换言之,谷歌已经开始意识到可能破坏 GUAC 的潜在威胁,包括系统被诱骗获取有关工件,及其元数据的伪造信息等,它希望通过数据文档的加密验证来缓解这种威胁。 转自 安全内参,原文链接:https://www.secrss.com/articles/48204 封面来源于网络,如有侵权请联系删除
报告显示,软件供应链的攻击在三年内猛增 742%
今年到目前为止,专家们已经发现了88000个恶意开源包,比2019年的同一数字增加了三位数,表明企业的攻击面正在快速增长。这些数字来自Sonatype的第八次年度软件供应链状况报告,该报告是根据公共和专有数据分析编制的,包括1310亿次Maven Central下载和成千上万的开源项目。 报告详细介绍了企业系统面临的日益增长的风险,这些风险既来自于威胁者插入软件库的恶意软件包,也来自于开发团队不知不觉中下载的意外漏洞。恶意活动的激增证明了这些团队越来越多地使用开放源代码包来加快上市时间。Sonatype估计,今年的开源请求将超过三万亿。 该供应商认为,开放源码消费的巨大规模和软件依赖性带来的额外复杂性可能意味着威胁和漏洞会被开发者遗漏。目前,平均每个Java应用程序包含148个依赖项,比去年多了20个。据Sonatype估计,由于Java项目平均每年更新10次,开发人员必须为他们的每个应用程序每年跟踪近1500个依赖性变化的情报。 然而,对这些开发环境的可见性似乎是缺乏的:在过去的一年里,每七个影响开源项目的错误中,就有六个是由反式依赖引起的。 报告指出,总体而言,96%的含有已知漏洞的开源Java下载是可以避免的,因为有更好的版本,但由于某种原因没有被使用。不幸的是,许多组织似乎是在错误的安全意识下运作。 该报告显示,68%的调查对象确信他们的应用程序没有使用有漏洞的库。然而,对企业应用程序的随机抽样显示,68%的应用程序包含已知的漏洞。”不成熟的组织希望他们的开发人员在履行正常工作职责的同时,还能保持对许可证合规性的关注、多个项目的发布、依赖性的变化以及开源生态系统的了解。这是除了速度等外部压力之外,”Sonatype首席技术官Brian Fox解释说。 工作满意度与软件供应链实践的成熟度有很大关系。这一令人清醒的现实表明,企业急需优先考虑软件供应管理,以便更好地处理安全风险,提高开发人员的效率,并实现更快的创新。 转自 E安全,原文链接:https://mp.weixin.qq.com/s/l7TTWCLw-CvCU53bHhv4gA 封面来源于网络,如有侵权请联系删除
SushiSwap 承认 MISO 平台遭到软件供应链攻击 损失超过 300 万美元
SushiSwap 首席技术官表示,该公司的 MISO 平台近日受到了软件供应链的攻击。SushiSwap 是一个社区驱动的去中心化金融(DeFi)平台,方便用户交换、赚取、借出、借用和利用加密货币资产。今年早些时候,Sushi 的最新产品 Minimal Initial SushiSwap Offering(MISO)是一个代币启动平台,让项目在 Sushi 网络上推出自己的代币。 与需要原生区块链和实质性基础工作的加密货币硬币不同,DeFi 代币是一种更容易实现的替代方案,因为它们可以在现有区块链上运行。例如,任何人都可以在以太坊区块链之上创建自己的“数字代币”,而不必完全重新创建一个新的加密货币。 SushiSwap 首席技术官 Joseph Delong 今天发布推文表示,MISO launchpad 上的一次拍卖通过供应链攻击被劫持。一个拥有 GitHub 账号 AristoK3 并能进入项目代码库的“匿名承包商”推送了一个恶意代码提交,并在平台的前端分发。 攻击者干扰或劫持软件制造过程,插入他们的恶意代码,使大量成品的消费者受到攻击者行为的不利影响时,就会发生软件供应链攻击。当软件构建中使用的代码库或单个组件被污染,软件更新二进制文件被“木马化”,代码签名证书被盗,甚至当提供软件即服务的服务器被攻破,都可能发生这种情况。因此,与孤立的安全漏洞相比,成功的供应链攻击会产生更广泛的影响和破坏。 通过这个供应链攻击,攻击者赚取了 864.8 个以太坊币,按照目前的价格计算大约为 300 万美元。Delong 表示目前该平台上只有一个汽车超市拍卖被利用,受影响的拍卖都已打上补丁。拍卖的最终金额与被盗的以太坊币数量一致。 (消息及封面来源:cnBeta)