聚焦源代码安全,网罗国内外最新资讯!
作者:Jessica Lyons Hardcastle
编译:代码卫士
数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。
随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。近年来,针对软件供应链的安全攻击事件一直呈快速增长态势,造成的危害也越来越严重。
为此,我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯,分析供应链安全风险,提供缓解建议,为供应链安全保驾护航。
注:以往发布的部分供应链安全相关内容,请见文末“推荐阅读”部分。
该包管理器开始向通过 RubyGems 命令行工具和网站下载且次数超过1.65亿次的gem 维护人员发出警报,建议他们开启账户多因素认证 (MFA) 机制。虽然目前仅仅是建议形式,但这100多个相关账户将在8月15日必须执行该认证机制。
RubyGems 团队的一名成员表示,“当前软件遭受的第二大常见攻击是,源自被黑或被泄露的账户的供应链攻击。MFA 防御几乎所有的这类攻击。”该团队表示,实际上RubyGems 在过去已经遭受供应链攻击。
该团队计划在未来几个月内,要求顶级维护账户以外的其它账户部署这一机制,“我们计划观察结果并解决社区提出的任何反馈意见,此后我们将理清后续如何进展。我们得到了积极回应,目前为止并未发现严重的阻力。我们很高兴这么多人都和我们看法一致。”
这一新要求紧随 GitHub 的步伐。GitHub 上个月宣布称,在明年年底,所有代码贡献人员必须部署双因素认证机制。GitHub 称此举“是保护供应链安全的第一步也是最关键的一步。”NPM也在执行双因素认证机制,最开始是要求前100名 Node.js 包维护人员执行,不过目前范围已扩大。
RubyGems 团队成员还表示,“我们发现其它生态系统计划在未来公布类似策略,我们不会透露他们是谁,因为他们正在做准备工作。”
不过,某些人认为此举远远不够。
身份管理公司 Beyond Identity 的首席技术官 Jasson Casey 认为,“这是迈向正确方向的一小步。它有助于应对针对开发者账户的最简单的攻击类型,但通过现成工具包如 evilginx2 等绕过多数 MFA 非常轻松。另外,这和保护源代码所有权的完整性毫无关系。此外,他们应当要求防御钓鱼的 MFA,同时要求和开发者身份相关的代码签名。”
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...