开源项目中的供应链风险

自Solarwinds供应链攻击事件以来，互联网上一直在讨论供应链和供应链安全等话题。许多科技界人士想了解什么是供应链攻击。那些已经知道这一点的人希望了解如何保护和管理他们，以便在他们的系统中不会发生类似的事情。在本文中，让我们尝试讨论所有这些主题。

什么是供应链？

用外行的话说，供应链是由计划、生产和向客户交付产品（软件）和服务组成的过程链。供应链管理旨在优化供应链中涉及的流程和资源。

供应链攻击是如何运作的？

与经典的供应链模型一样，软件供应链也有一个“寻源”阶段。现代软件通过在应用程序代码中集成各种第三方和免费开源软件/库，使用代码重用原则。据估计，目前90%以上的代码库以某种形式使用开源软件/项目。

这种对免费开源库和软件的依赖是有风险的。添加单个非托管、旧的或不安全的开放源代码库可以使整个应用程序生态系统成为潜在的目标。集成COTS（商用现货）软件也是如此。寻找易受攻击的软件或库可能严重危害软件的整体安全态势。因此，必须管理在软件供应链中使用开源项目所涉及的风险。

如何管理供应链风险

随着开发活动中使用开源项目的迅速增长，保护我们自己免受此类攻击的可能性至关重要。在包管理器中直接导入开源依赖项之前，有必要检查它们相关的安全漏洞。这可以通过分析所有开源组件的任何已知安全漏洞来手动实现，也可以使用自动化软件组合分析解决方案来实现。

作为开源供应链安全的最佳实践，应遵循以下几个步骤：

1.仅使用已验证的包源。

2.在将开源库添加到代码库之前，请查看它们。

3.不鼓励使用任何软件的不推荐版本。

4.避免使用非常新的开放源代码库，因为安全研究人员可能还没有审查它们的潜在安全风险。

5.利用框架内置的安全工具，如NPM审计。

让我们看看最近发生的太阳林供应链攻击事件，以便更好地理解这一点。

太阳风供应链攻击

Solarwinds是一家流行的软件公司，用于编写IT管理系统管理工具。他们最受欢迎和部署的产品之一是名为Orion平台的网络管理系统。Orion平台提供各种解决方案，如网络性能监视器、服务器和应用程序监视器、日志分析器、修补程序管理器等。为了监视和管理这些系统生成的事件，Orion能够对连接的设备进行配置更改，使其成为恶意攻击者的主要目标。操纵猎户座平台可能意味着操纵连接的设备。

2020年12月，攻击者通过注入恶意代码并破坏Orion平台发布版本的构建过程，得以利用Solarwinds的供应链。近18000家公司下载了数字签名版本，因此在不知不觉中安装了潜伏的恶意软件。结果，黑客得以访问Solarwinds的客户系统。

结论

为了最大限度地降低软件供应链主题中固有的风险，在供应链的每个阶段纳入安全控制非常重要。

我们讨论了在不进行安全审计的情况下使用开源软件甚至第三方软件如何使您的供应链容易受到攻击。软件安全测试不应被推到开发周期的最后，这一点至关重要。相反，应在产品设计阶段尽早将其纳入。我们希望本文能够帮助您理解软件供应链及其安全性。