上周末,因CrowdStrike公司升级安全软件而引发的大规模宕机事件影响了全球大约850万台安装微软Windows操作系统的设备,本次蓝屏事件可能是有史以来最大的IT故障,同时也再一次把“软件供应链安全”问题推上了风口浪尖。
图源 网络
在当今数字化时代,软件已成为推动社会进步、经济增长和企业创新不可或缺的核心驱动力。随着云计算、容器化、微服务架构等技术的广泛应用,软件的开发、部署与迭代速度达到了前所未有的高度,软件供应链也随之变得日益复杂和庞大。这一趋势在极大提升软件生产效率与灵活性的同时,也悄然孕育了一系列新的安全挑战。
今天,我们再次请到了默安科技产品总监满弘鹏,为大家解答软件供应链安全的那些事儿。
安小默
哈喽小满,又和大家见面了。相信你也关注了近期的“微软蓝屏”事件,对此你怎么看呢?
小满
不知道你还记不记得**GB/T 43698-2024《网络安全技术 软件供应链安全要求》**的解读视频,其中对“需方安全”提出明确要求:
作为软件需求方,应对软件采购、获取、运维、废止等各个环节进行严格控制,确保软件的安全性和可靠性。
微软不按流程出牌,这才给了漏洞可乘之机。
安小默
所以,这次事件给软件供应链安全敲响了警钟,任重而道远啊...那目前来看,软件供应链安全到底面临了哪些常见风险呢?
小满
问题一
安小默
刚刚听你说到“软件供应链投毒风险”其实是软件供应链安全风险里面最常见的风险类型之一,可以展开说说吗?
小满
问题二
安小默
这么精彩,能举个真实的例子吗?
小满
大家应该都听说过XZ-Utils,它作为一款开源的无损压缩命令行工具,可以用于处理.xz和.lzma文件的命令行压缩工具,集成了liblzma等组件。
今年3月,一名微软的PostgresSQL工程师在X上发出警告,称在做postgres的基准测试时发现sshd进程的CPU占用率异常的高,而其中的CPU时间大多都分配给了liblzma。
之后,该名工程师向Openwall项目的开源安全邮件列表报告了他的发现,并引起多家软件厂商的注意,最终被确认是XZ的5.6.0和5.6.1版本中存在SSH后门。在存在后门的版本中,恶意代码修改了liblzma代码中的函数,攻击者利用这一漏洞破坏ssh认证,并远程获取对整个系统的未授权访问。
图源 网络
安小默
刚刚你还提到了软件供应链断供风险,也有相关案例分享下吗?
小满
某全球领先的金融科技公司专注于开发用于交易和风险管理的高级软件解决方案,其核心产品依赖于一个名为 XYZLib 的开源库,该库提供了关键的加密功能和数据解析功能。
图源 AI作图
XYZLib 是一个广泛使用的第三方库,由一个小型开源社区维护,并托管在一个公共代码仓库中。但在今年7月,XYZLib 的维护团队突然宣布,他们将停止对该库的支持,并将其从公共代码仓库中删除,原因是维护者无法继续投入时间和资源。
这一决定的突然性给该金融科技公司带来了巨大的影响,因为 XYZLib 是其核心产品的一个关键组件,最终造成了核心功能瘫痪和客户服务中断。
安小默
好可怕!听说我们的产品可以防范供应链断供风险,可以给我们展开讲讲具体功能吗?
小满
问题三
安小默
据悉,当前容器化已经逐渐成为了一种主流的技术架构,面向云原生的软件供应链安全我们如何保障?
小满
问题四
小满
我这里还有个案例可以佐证面向云原生的软件供应链安全也至关重要。
某电子商务平台提供商的核心业务系统采用了微服务架构,所有服务都基于 Kubernetes 容器进行部署和管理。
图源 网络
2023年11月,该公司的安全团队发现其生产环境中的某些 Kubernetes 部署存在严重的安全配置错误。更糟糕的是,由于配置错误,该支付处理服务的容器具有特权模式,允许容器内的进程以 root 用户运行。攻击者利用这些配置错误,通过互联网访问到了支付处理服务,获取了数据库的访问凭证,并进一步侵入了数据库,窃取了大量用户的支付信息。
安小默
非常感谢小满今天为我们带来精彩解答,相信大家对软件供应链安全有了更全面的了解。
别划走,后续我们会继续给大家带来精彩的软件供应链安全主题问答,也欢迎大家留言提问!
