你可能或多或少在头条新闻中有看到过或了解过和软件供应链攻击相关的信息，比如 2020 年的 SolarWinds 事件，再比如 2021 年的 Kaseya 事件（点击查看关联文章）。如果到目前为止你对软件供应链攻击尚不了解，那么这里有一个简要解释：当恶意代码在开发过程中被引入应用程序或软件程序，然后用于访问敏感数据甚至控制设备本身时，就会发生软件供应链攻击。今天的文章将带你了解软件供应链攻击愈演愈烈的原因以及开源软件供应链所面临的新挑战。

软件供应链攻击的影响

软件供应链攻击是指某人获得对组织的软件供应链的访问权，通常是通过渗透其合作伙伴或供应商，获取用于公司或组织的软件或硬件组件。什么是软件供应链攻击？这是通过破坏该网络中的单个设备来破坏整个网络的过程。这意味着攻击者不必单独接管每个系统——恶意攻击者可以通过简单地破坏一个设备并将其用作在整个网络中传播恶意软件的一种方式。软件供应链涉及多个利益相关者：供应商、他们的供应商和合作伙伴以及他们的客户。

然而在实际情况中，软件供应链攻击是非常有效的，因为这类攻击难以检测，甚至更难以阻止。而大多数企业并没有对其软件供应链进行有效的监控，有些甚至从未将关注放在软件供应链上，这也就意味着这些企业并不知道他们所合作的供应商是否受到恶意攻击和损害，直到企业本身受到攻击影响，但已为时已晚。而攻击者已经能够访问企业的所有信息，从身份信息，银行账号等个人信息到商业机密，攻击者可以利用这些专有数据去谋取巨大利益。由于这类攻击很容易实施，因此攻击数量也随之激增。

虽然开发人员可以采取一些基本步骤来降低风险，但如果不投资更好的解决方案（如容器化或加密技术），这些解决方案很难完全消除，因为这些解决方案往往在应用程序级别工作，而不是仅在操作系统级别中在一些较旧的设备上实施。

为什么软件供应链攻击愈演愈烈？

以下是总结出的软件供应链攻击呈上升趋势的原因：

• 由于软件供应链攻击实施难度不大，且恶意攻击者能够很容易找到软件中的漏洞并利用其访问企业网络甚至窃取数据。

• 软件供应链攻击能够有效实施，恶意攻击者能够通过发起攻击获取巨大利益。软件供应链攻击的目的不仅仅是破坏软件安全性，更是意在窃取数据或获取钱财。据统计，软件供应链攻击通常导致每年数百万美元损失。

• 软件供应链攻击通常经过几个月的时间之后才会被除了恶意攻击者以外的人发现。

• 由于软件供应链非常复杂，开发人员常常在层层叠加、错综复在的依赖关系中感到困惑，这也成为恶意代码潜藏的温床。如果企业使用或购买了不可靠来源的代码或软件，可能会面临巨大的安全风险！

开源软件供应链的新问题

根据 VMWare 调查报告（报告获取方式见文末）结果显示，有 76%的人表示开源软件（OSS）满足其对成本效益的期望，60%的受访者表示 OSS 帮助其所在的企业提高了灵活性，还有 52%的受访者则表示 OSS 满足了公司对开发人员生产力的期望。由此可见，开源软件已然成为各类规模公司软件供应链的关键元素。

尽管如此，值得注意的担忧和风险使今年愿意在生产环境中部署开源软件的公司数量从 95% 减少到 90%。OSS 前三个关注点中有两个涉及安全性，特别是识别和解决漏洞的能力：

• 依赖社区修补错误和修复漏洞的比例从去年的 56%上升到今年的 61%

• 安全风险增加（47%到 53%）和社区补丁缺乏 SLA（42%到 50%）

开源软件供应链也面临着新的安全问挑战，即更安全的打包方法（Packaging security）。OSS 打包过程对于确保开源软件供应链的安全性至关重要。然而，这也已成为企业开发过程的复杂性和担忧的重要来源。该报告发现，在大多数公司中，过多的工具、手动任务和多个团队参与打包 OSS，阻碍了他们有效保护软件供应链安全。因此，为了在改善此类风险，建议企业简化打包流程以此来提高效率，并可以尝试将打包任务交给一个单独的团队团队管理，通过自动化任务和整合打包工具进行 OSS 打包，既可以保证安全性也可以提高打包效率。

总结

软件供应链安全是一个在过去几年中受到越来越多关注的领域，这些关注不仅来自希望提高开发软件安全的企业，同时也来自关注个人信息被泄露的消费者。不过更多的关注并不是坏事，这也能督促企业进行软件开发、分发等过程中更多低将安全纳入重点考虑。而企业在开源安全教育、意识养成和最佳实践实施方面仍有很长的路。