AI News HubLIVE
站内改写3 分钟阅读

零漏洞代码包仍可能是最大的软件供应链风险

尽管软件供应链安全日益受到关注,但RapidFort和ReversingLabs的合作表明,即使没有已知漏洞的代码包也可能隐藏恶意软件。深度二进制恶意软件检测技术通过神经网络分析可执行文件,发现隐藏威胁。然而,专家指出,这种信任转移并不能保证绝对安全,仍需警惕未知漏洞。

来源The New Stack AI作者: Adrian Bridgwater

尽管软件供应链安全威胁已成为今年安全专家关注的焦点,但RapidFort和ReversingLabs的合作表明,即使没有已知漏洞的代码包也可能成为最大的风险。

Red Hat推出了针对应用层依赖的Lightwell;GitLab和GitHub都推出了AI服务,提供更深入的代码扫描和软件组成分析(SCA);Harness继续明确其在自动化管道安全门控方面的立场,以阻止未经验证或不受信任的第三方工件;当然,Gartner也会列出这个领域所有有价值的供应商。

在此背景下,专门的软件供应链安全专家RapidFort本周宣布与文件安全供应商ReversingLabs建立新的合作伙伴关系,推出开源依赖库(Open Source Dependency Libraries),这是一个包含精选和加固工具的软件包目录,并由独立的第三方验证提供支持。

开发者需要更横向地思考供应链中可能脆弱的环节,并记住“当今构建中最危险的包可能具有零个常见漏洞和暴露(CVE)”。RapidFort的首席营销官Mike Wood告诉The New Stack,他强调XZ(一个恶意后门)、Shai-Hulud、Nx、Axios(一个流行的JavaScript HTTP客户端库)和tj-actions不仅仅是漏洞故事,而是信任链的失败。Wood说:“软件开发者不应该仅仅为了导入一个库而成为恶意软件分析师。这个合作为工程团队提供了一个安全的默认选择,使用的是他们已有的包管理器、他们依赖的开源库,以及在这些包触及构建管道之前的独立验证层。”

为了实现其所谓的严格的多阶段加固管道服务,RapidFort的开源库目录由ReversingLabs进行验证。该验证使用“深度二进制恶意软件检测”,这是一种依赖神经网络分析编译代码中原始可执行二进制文件结构流的技术,以识别可能与威胁相关的隐藏模式或混淆。Wood解释说:“包管理器是为分发而构建的,而不是为信任而构建。最近的供应链攻击表明,一个软件代码依赖可以看起来合法,安装干净,但仍然窃取凭证、打开后门或污染持续集成管道。RapidFort和ReversingLabs正在将信任决策上移,以便开发者在承受爆炸半径之前就能处理风险。”

Wood团队表示,该领域的其他方法需要迁移到专有的包管理器、自定义操作系统发行版或特定供应商的工具链。而RapidFort Libraries可以与任何操作系统、任何软件开发框架和任何应用程序包管理器配合工作,通过团队已经使用的标准pip、Maven、npm和OS包接口。这些库是即插即用的替代品,因此无需迁移、中断或与专有OS发行版相关的麻烦。

Pentest Tools的首席安全研究员Matei Badanoiu告诉The New Stack,“零CVE运动”最近获得了关注,总体而言,“这是一件好事”,但它仍然遗漏了未知漏洞。他指出,“这里强调的失败——XZ、Shai-Hulud、tj-actions——发生在没有漏洞源监视的层:维护者继任、被盗的发布令牌、被污染的CI工作流。”他同意独立的二进制级别验证是对匹配清单与CVE列表的真正改进,因为它检查了工件包含的内容,而不是关于它报告了什么。“但需要注意的是,即使有上述比较,仍然需要有人区分有效特性、潜在的新型漏洞(有意或无意)或恶意插入的后门。XZ在5.6.0版本之前一直很干净。”Badanoiu补充说。

Huntress的高级安全运营分析师Michael Tigges告诉The New Stack,“有保障的开源存储库并不是一个新概念”,Google本身也提供自己的有保障的开源软件(OSS)计划。此外,像Wiz这样的供应商为Docker等服务提供了加固/有保障的镜像基础。“但重要的是要注意,你仍然在信任信任,即,你不是将信任委托给开源维护者和OSS存储库管理员,而是委托给提供保障的组织。这并不会自动使包无恶意软件;应该将有保障的软件视为经过审查的发布和审查过程。”Tigges解释说,使用有保障软件源的个人实际上是在为另一个组织对给定开源软件应用程序的专家意见/检测库/分析付费。“在XZ后门案例中,许多用户无疑在它被尝试纳入多个发行版(包括Debian和RHEL)之前就检查了代码库。这应该告诉我们,虽然我们对Google、RapidFort等审查过的包有更高的信任度,但它们也并非无懈可击。”他同意,总的来说,有保障的开源软件是好事。“它集中了信任,有助于将风险和责任委托给单个组织。但这样做的代价是,补丁周期可能会变慢,或者组织本身需要达到极高的标准才能确保他们分发的软件是安全的。”

考虑到网络安全行业的最佳努力,以及他们对软件供应链威胁和代码依赖及服务相互依赖的认识,我们的整体软件供应链将如何演变?谨慎的猜测可能表明,事情会变得更加混乱而不是更清晰,考虑到Kubernetes的兴起以及恶意行为者越来越多地入侵开源组件并将威胁嵌入传统工具无法触及的容器镜像深层。公平地说,RapidFort和ReversingLabs已经指出了这个问题。他们说,通过将ReversingLabs的Spectra Assure独立恶意软件分析服务引入RapidFort库目录中的每个包,企业可以在这些包进入构建管道之前获得经过严格加固和独立评估为干净的开源依赖。然而,管道和供应链仍在扩展,所以希望它们能尽可能保持功能完整,并让我们远离排污系统。

零漏洞代码包仍可能是最大的软件供应链风险 | AI News Hub