封装阶段的软件供应链安全威胁

这篇具有很好参考价值的文章主要介绍了封装阶段的软件供应链安全威胁。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

封装阶段的软件供应链安全威胁,网络研究院,软件,封装,风险,分析,安全

随着软件开发沿着软件供应链生命周期进行,软件包阶段成为一个关键节点,将源代码转换为准备分发的可执行工件。然而,这个关键阶段也无法避免漏洞,使其成为恶意行为者寻求破坏软件完整性和安全性的主要目标。这篇博文深入研究了此阶段可能出现的普遍威胁,并概述了缓解这些威胁的有效策略。

软件开发生命周期中的软件包阶段

软件供应链生命周期的打包阶段包括打包和准备软件以分发给用户的过程。此阶段涉及创建安装包、管理依赖项以及生成软件的元数据。

构建完整性威胁是一些漏洞,可能允许攻击者在打包过程中对软件进行未经授权的更改。这些威胁可以通过多种方法引入,例如破坏包注册表、利用打包工具中的漏洞或操纵第三方依赖项。

现代软件对开源组件的完全依赖使得这一阶段成为最常见的 SSCA 目标。在流行的开源组件中引入隐形恶意软件是许多网络犯罪分子的梦想。这就是为什么2023 年发现了超过245,000 个恶意软件包。 

封装阶段软件供应链安全威胁示例

封装阶段的软件供应链安全威胁,网络研究院,软件,封装,风险,分析,安全

使用受损的软件包

这是指部署或使用被对手篡改或修改的软件包的行为。

这种情况可能发生在程序包离开官方程序包注册表后,无论是通过直接访问用户的系统还是通过社会工程策略诱骗用户下载或安装恶意程序包。这种向量的一个例子是Browserify 域名仿冒攻击。

一名攻击者试图侵入 Linux 和 Mac 系统,渗透了名为 Browserify 的流行 Node.js 库的开发过程。攻击者将恶意代码植入项目的源代码中,意图通过 NPM 包注册表进行分发。一旦受污染的 Browserify 包上传到 NPM,毫无戒心的开发人员就会下载并安装它,并相信它是合法版本。

嵌入在程序包中的恶意代码会默默运行,从而损害其感染的系统的完整性。这可能会导致数据被盗、系统不稳定,甚至攻击者进行远程访问。

破坏包注册表

受损的软件包注册表是一个已被对手渗透的软件存储库,该对手已获得对注册表管理界面或基础设施的未经授权的访问权限。

这使得攻击者可以修改或用恶意软件包替换合法软件包,然后将其分发给毫无戒心的安装用户。此类威胁的一个例子是对包镜像的攻击:一名研究人员为了推广开源软件,破坏了多个流行的包注册表,包括 Maven Central、NPM 和 RubyGems。

通过访问这些注册表,研究人员能够创建镜像和原始存储库的副本,这为开发人员下载软件包提供了便捷的选择。

然而,这些镜像却有着险恶的目的。受损的镜像充当了研究人员分发恶意软件包的渠道。这些软件包取代了合法的软件包,没有被主注册表检测到,毫无戒心的开发人员在不知不觉中下载并安装了它们。一旦安装,这些恶意软件包就会释放其有效负载,执行任意代码、窃取敏感数据或中断操作。

上传修改包

攻击者将修改后的包上传到包含恶意代码或有效负载的存储库或分发渠道。这可以通过修改包的源代码、打包或元数据来完成。

此类威胁中最臭名昭著的威胁之一是2021 年的 CodeCov 攻击。攻击者试图使用 CodeCov(一种流行的持续集成和持续交付 (CI/CD) 工具)破坏软件项目,并利用泄露的凭据获得对项目的 Google Cloud Storage (GCS) 存储桶的未经授权的访问。一旦攻击者获得了 GCS 存储桶的访问权限,他们就会上传一个恶意工件,即 CodeCov 包的修改版本,然后通过 CodeCov 服务分发给用户。

毫无戒心的开发人员会依靠自动更新功能下载并安装恶意软件包,并相信它是合法的。一旦安装,恶意代码就会默默运行,从而损害其感染系统的完整性。这可能会导致数据被盗、系统不稳定,甚至攻击者进行远程访问。

对包注册表的攻击非常常见,以至于某些攻击模式被命名为:

在“误植域名”中,不良行为者会向注册表上传多个带有轻微拼写错误或与合法、流行的名称相似的恶意软件包,希望开发人员将预期的软件包名称与恶意软件包名称拼写错误。通常,恶意软件包会伪装成合法软件包而不被发现,从而增加了被观测星击中的可能性。 

依赖混乱利用了一些包管理器从多个注册表解析所请求的包的方式。当组织使用在内部注册表中发布的内部组件时,知道这一事实的攻击者可能会在公共注册表中发布同名的恶意组件。如果用于内部组件的名称未限定范围,某些包管理器将获取恶意组件而不是内部组件。   

通过 Troyan Packages ,网络犯罪分子可以将恶意软件伪装成有用的有效代码。这可以由真正的作者使用,也可以由愿意维护该包的贡献者使用。这也称为包劫持。攻击者使用许多技术来劫持现有的软件包,例如“域接管” ,其中攻击者接管了废弃的过期域,重新创建了旧的维护者电子邮件并执行密码恢复以接管维护者帐户。

随着组织越来越多地采用优先考虑自动化和持续交付的软件开发方法,保护软件包阶段的重要性变得前所未有的重要。通过在整个关键阶段实施强大的安全措施,组织可以大大降低遭受恶意攻击的风险,这些攻击可能会损害其软件的完整性和安全性。

软件包阶段代表了软件供应链中的一个脆弱点。组织必须注意这些威胁并实施必要的安全措施以保护其软件免受攻击。通过这样做,他们可以为用户和客户保证其软件的完整性、安全性和可靠性。

请记住,软件供应链安全是一个持续的过程,而不是终点。通过不断评估和调整安全实践来应对新出现的威胁,组织可以保护其软件供应链并向用户提供可信的软件。文章来源地址https://www.toymoban.com/news/detail-840021.html

到了这里,关于封装阶段的软件供应链安全威胁的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 信息安全-应用安全-蚂蚁集团软件供应链安全实践

    8月10日,由悬镜安全主办、以“开源的力量”为主题的DSS 2023数字供应链安全大会在北京·国家会议中心隆重召开。蚂蚁集团网络安全副总经理程岩出席并发表了《蚂蚁集团软件供应链安全实践》主题演讲。 图1 蚂蚁集团网络安全副总经理程岩发表主题演讲 以下为演讲实录:

    2024年02月10日
    浏览(48)
  • 软件供应链安全:寻找最薄弱的环节

    在当今的数字时代,软件占据主导地位,成为全球组织业务和创新的支柱。它是差异化、项目效率、成本降低和竞争力背后的驱动力。软件决定了企业如何运营、管理与客户、员工和合作伙伴的关系,以及充分利用他们的数据。 挑战在于,当今的大多数软件都不是从头开始开

    2024年04月17日
    浏览(51)
  • 文献阅读笔记 # 开源软件供应链安全研究综述

    纪守领,王琴应,陈安莹,赵彬彬,叶童,张旭鸿,吴敬征,李昀,尹建伟,武延军.开源软件供应链安全研究综述.软件学报. http://www.jos.org.cn/1000-9825/6717.htm 主要作者来自浙江大学、中科院软件所、华为 资源: pdf 本文总结了开源软件供应链的关键环节, 基于近10年的攻击事件总结了开源软

    2024年02月12日
    浏览(46)
  • Gartner发布降低软件供应链安全风险指南

    软件供应链攻击已呈三位数增长,但很少有组织采取措施评估这些复杂攻击的风险。这项研究提供了安全和风险管理领导者可以用来检测和预防攻击并保护其组织的三种实践。 主要发现 尽管软件供应链攻击急剧增加,但安全评估并未作为供应商风险管理或采购活动的一部分

    2024年02月04日
    浏览(49)
  • 一文读懂什么是软件供应链安全

    今天的大部分软件并不是完全从头进行开发设计的。相反,现在的开发人员频繁的依赖一系列第三方组件来创建他们的应用程序。通过使用预构建的库,开发人员不需要重新发明轮子。他们可以使用已经存在的工具,花更多的时间在专有代码上。这些工具有助于区分他们的软

    2024年02月05日
    浏览(50)
  • 企业应如何做好软件供应链安全管理?

    随着软件供应链攻击日益普遍,Gartner 将其列为2022 年的第二大威胁。Gartner 预测,到 2025 年,全球 45% 的组织将遭受一次或多次软件供应链攻击,是2021年的3倍。这些攻击一旦成功,将给企业带来毁灭性打击,因此如何做好软件供应链管理成为企业关注的重要课题。 目前国内

    2024年02月16日
    浏览(49)
  • SOFAStack软件供应链安全产品解析——SCA软件成分分析

    近年来,软件供应链安全相关攻击事件呈快速增长态势,造成的危害也越来越严重,为了保障软件供应链安全,各行业主管单位也出台了诸多政策及技术标准。基于内部多年的实践,蚂蚁数科金融级云原生PaaS平台SOFAStack发布完整的软件供应链安全产品及解决方案,包括静态代

    2024年02月04日
    浏览(46)
  • 龙腾荆楚 | 软件供应链安全检测中心落地襄阳

    1月16日, 襄阳市东津新区“园区提质、企业满园”行动暨2024年东津云谷首月重大项目集中签约活动圆满完成 ,开源网安城市级项目再下一城,分别与襄阳市政府、高校、国投签订战略合作协议,推动荆楚地区数字政府、数字经济、数字社会、数字生态协同高质量发展。 襄阳

    2024年01月20日
    浏览(55)
  • 开源时代:极狐GitLab如何保证软件供应链安全

    开源吞噬软件 “软件吞噬世界,开源吞噬软件”已经不是一句玩笑话了。根据Synopsys发布的《2021年开源安全和风险分析报告》显示,98%的样本代码库中包含开源代码,75%的样本代码库是由开源代码组成的。上述结果是通过对1500+商业代码库进行分析得出的,开源不仅存在于大

    2024年02月03日
    浏览(46)
  • “网安三人行”盘点:软件供应链安全的那些事儿

    2022年伊始,默安科技联合数世咨询举办以“软件供应链安全的时与势”为主题的访谈活动,由数世咨询创始人李少鹏主持,邀请 贝壳安全研发负责人李文鹏、北京邮电大学副教授张文博、默安科技副总裁沈锡镛 三位行业大咖做客网安小酒馆,从产业、企业、学术的不同维度

    2023年04月25日
    浏览(48)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包