尽管有供应链攻击的威胁，三分之一的Log4j下载仍然拉动易受攻击的版本

赖特说：“确保你的服务器确实很好地定义了他们可以与什么人和谁交谈，”在技术问题缩短了他的现场露面后，他重新录制了他的虚拟主题演讲。

“你的服务器永远、永远都不应该开放出站访问”，赖特建议道。

许多现代供应链攻击“利用了这样一个事实，即许多组织确实过滤了进来的东西，但他们从不关注出去的东西”，赖特补充道。

他指出，开源生态系统规模的急剧增加已经说服攻击者从攻击应用程序转向攻击其上游组件。如果说有什么不同的话，让赖特感到惊讶的是他们没有更早、更大规模地这样做。

就上下文而言，他自己的研究表明，从2015年到2022年，各种包管理器产生了数万亿次下载请求，其中Java下载量飙升 3,870%，JavaScript上涨13,900%，.NET跃升34,100%。

当一个典型的应用程序有20-30个依赖项时，它们本身通常有5-10个依赖项，每个依赖项大约有10000行代码，发现漏洞与其说是“大海捞针”问题，不如说是“大海捞针” ”挑战，赖特说。

因此，Google的Open Source Insights等资源非常宝贵。这个“很棒”的工具为开源包构建依赖关系图，并用所有权、许可证、流行度和其他元数据对其进行注释。

赖特还建议使用Dependancy Track集中查看软件物料清单(SBOM)。

当漏洞出现时，他建议安全团队更多地关注矢量而不是严重性评分，因为CVSS评级通常会随着对漏洞的理解加深而变化。

这位前软件开发人员警告说，虽然包管理器会迅速从公共存储库中删除流氓包，但他们对缓存的使用意味着开发人员应该“清除”他们的私有存储库和本地构建系统。

他赞扬了最近围绕支持软件供应链采取的一系列举措——SLSA、Sigstore Cosign、NIST指南和OSSF安全记分卡——但尽管有这些资源，但仍有许多工作要做。

毕竟，严重的Log4j错误表明组织没有注意到Apache Struts错误提供的教训，该错误在2017年重创了Equifax的声誉——“我们发现33%的下载仍然是易受攻击的版本”，他感叹道。

“您通常不会允许任何陌生人向您的代码库提交代码，”赖特总结道。“但是当我们从随机开发者那里下载软件包时，这正是我们正在做的。”

All Day DevOps是一个24小时以软件开发人员为中心的会议。演示文稿仍可按需查看。