扫描Docker Hub存储库引发的软件供应链安全之思

2024-06-19 02:06

Docker Hub是全球开发者首选的容器平台，目前托管着超过1500万个存储库，其承载着建立在容器数据基础上的文本描述和元数据。面向全球不计其数的开发者，Docker Hub为Docker镜像的开发、协作和分发提供了诸多可能性。

如果这样一个庞大的托管和镜像分发平台存在安全隐患，那么对于很多企业的软件供应链安全来说，可能会是灭顶之灾。

致力于软件供应链安全的JFrog对Docker Hub所有主要的公共存储库进行持续扫描后发现，在NPM、PyPI和NuGet注册表中存在数个恶意软件包。JFrog的研究显示，这些公共存储库中有近20%（近300万个存储库）托管过恶意内容，包括通过自动生成的账户上传的用于推广盗版内容的垃圾邮件，以及恶意软件和钓鱼网站等极度恶意的实体。虽然Docker Hub维护者对许多上传的存储库进行了管理，并且在安全扫描信息披露后已经下架有隐患的存储库，但从这些攻击来看，想完全阻止恶意上传的难度极大。

软件供应链安全无小事

软件供应链安全，简单说就是保护软件在开发、分发、部署和使用过程中的安全性与完整性。近几年，软件供应链安全谈及的频率越来越高。究其原因，软件供应链安全关乎国家安全、企业发展、技术创新，甚至是个人隐私。企业和开发者必须清醒地认识到软件供应链安全的重要性，并应采取积极有效的措施管理和降低相关风险，为软件产品和服务的开发、应用打造一个安全可靠的环境。

现代软件供应链通常涉及多个组件、库和服务的集成，每个组件自身可能都存在安全漏洞。管理这种复杂性是确保整个软件供应链安全的一大挑战。由于开源软件的使用越来越广泛，这意味着软件供应链更容易受到开源组件中安全漏洞的影响，识别和修复这些漏洞正变得愈加困难。另外，AI/ML的兴起，也在某种程度上增加了安全保障的难度。JFrog的调查显示，94%的受访者表示，他们的企业组织正采取措施来审查开源机器学习模型的安全性和合规性；近20%的受访者表示，出于安全和合规考虑，他们所在的企业组织不允许使用AI/ML来编写代码。

软件供应链的安全与多种因素有关，除了技术层面的，还有人为因素等。消除软件供应链的安全隐患，需要跨学科合作，不断创新理念、技术与工具，对新威胁能够做到快速响应。

JFrog大中华和日本地区总经理董任远

JFrog是一家专注于提升企业软件供应链安全性的公司，拥有专门的安全研究团队，能够为企业的开发和安全团队提供强有力的技术支持。JFrog深知企业管理和保护整个软件供应链是交付安全可信软件的核心所在。JFrog大中华和日本地区总经理董任远指出：“每家企业的软件供应链集成应用的软件工具错综复杂，企业组织面临着比以往更大的安全风险。如果企业领导者能够选择合适的软件工具、管理与监控工作流程，便可借助多场景化管理软件供应链的实践，巩固企业的安全态势，并确保持续增长和竞争优势。”

安全左移高效更要简化

结合超过7000家企业的JFrog Artifactory开发者使用数据、JFrog安全研究团队原创的CVE分析，以及委托第三方对全球1200名技术专业人士进行的调查数据，JFrog正式发布了《2024年全球软件供应链发展报告》（以下简称《报告》），旨在为快速发展的软件供应链领域提供关键信息参考。

《报告》中深刻地揭示了软件供应链发展过程中面临的主要挑战。

第一，并非所有CVE都如表面所见。

平时，我们都习惯了看海面之上的冰山一角，反而容易忽视海面之下更庞大的冰山。传统的CVSS评级，仅仅关注漏洞利用的严重性，而非其被利用的可能性。正是从漏洞被利用的可能性角度出发，JFrog的安全研究团队在分析了2023年发现的212个高知名度CVE后，平均将85%的“严重”CVE和73%的“高危”CVE的重要性评级下调。此外，JFrog还发现，在报告的前100个Docker Hub社区镜像中，74%的CVSS评级为“高危”和“严重”的常见CVE，实际上是无法被利用的。

高估安全漏洞，会导致什么样的后果？面对无处不在的安全威胁，感觉无从下手？或是杀鸡用牛刀？

调查显示，47%的IT专业人士表示，他们部署了4-9种应用安全解决方案；33%的被调查对象和安全专业人士表示，他们正在使用10种甚至更多的应用安全解决方案。这一现象反映出市场对于安全工具整合的需求趋势，同时也表明人们正逐渐放弃单一的点对点解决方案，转而寻求综合性更高的安全工具集成。

“并非所有已知的安全漏洞都值得花时间进行修复。”JFrog中国技术总监王青一针见血地指出，“虽然安全漏洞的数量每年都在增加，但这并不意味着其严重性也在同步上升。企业的IT团队愿意投资于新工具以提升安全性，但了解如何部署这些工具、如何有效利用团队时间以及简化流程，对于确保软件开发生命周期的安全至关重要。”

JFrog提供的方案满足了很多企业对于简化、高效的需求，即使用一个统一的平台进行管理。“JFrog产品的一大特色是，通用的软件组合分析(SCA)解决方案JFrog Xray与制品库是统一绑定的。换句话说，只要用户采用了JFrog的制品库，就会自动获得安全扫描的能力，而不需要额外购买JFrog Xray，从而降低了安全扫描工具的采购和维护成本。”王青继续介绍说，“JFrog的产品还有一个显著优势，就是不限制用户数。企业内1000个人使用与10000个人使用，费用是一样的。总之，我们在安全扫描、制品管理、供应链管理上提供了统一的高性价比的解决方案。”

第二，拒绝服务（DoS）攻击日益盛行。

在JFrog安全研究团队分析的212个高知名度CVE中，44%存在发起DoS攻击的潜在威胁；17%存在执行远程代码（RCE）的潜在威胁。JFrog认为，这对于安全组织来说可能是个好消息，因为RCE由于能够提供对后端系统的完全访问权限，与DoS攻击相比，其危害性更大。

应对外界安全威胁，JFrog有一套完整的流程和工具。JFrog Curation就是我们俗称的“隔离仓库”。举例来说，当开发者准备从Docker Hub中下载一个镜像，JFrog Curation首先会去Docker Hub探测该镜像的扫描结果，因为JFrog Curation已经预先扫描了Docker Hub中所有镜像的安全漏洞。所以，JFrog会非常迅速地在用户发出请求之后，立刻告诉他镜像扫描后的漏洞报告。JFrog的安全人员在JFrog Curation中设置了隔离策略，能够确保恶意包被立刻阻断在公司内网之外，也使得开发者无法下载恶意包进入到组织内部。

俗话说，不怕一万，就怕万一。如果恶意包通过其他方式进入到公司内部，企业还可以开启JFrog的安全扫描——JFrog Xray，立刻对有漏洞的镜像进行诊断。JFrog Xray的与众不同之处在于，它具有“基于上下文的风险分析扫描”功能，能够准确地判定漏洞是否被引入，以及是否真实被利用。只有被真实利用的漏洞，才会进行阻断；如果是不可被利用的，则会放行此镜像的使用，因为它不会影响组织内部的安全。

JFrog中国技术总监王青

第三，安全问题将影响工作效率。

40%的受访者表示，通常需要一周或更长时间才能获得使用新软件包/库的批准，这延长了新应用程序和软件更新的上市时间。此外，企业的安全团队大约会耗费25%的时间用于修复漏洞，即使这些漏洞的风险在当前情况下可能被高估或甚至无法被利用。

第四，在软件开发生命周期（SLDC）中采用的安全检查方式，不同企业之间存在较大差异性。

当涉及到决定在软件开发生命周期中的哪个阶段采取应用安全测试时，行业内存在明显分歧，这突显了同时进行“左移”和“右移”的重要性。42%的开发人员表示，最好在编写代码过程中执行安全扫描，而41%的开发人员认为最好在新软件包从开源软件（OSS）库引入企业之前就执行扫描。

王青表示，“安全左移”的策略，能够最大程度地避免或者减少对软件供应链安全造成的负面影响。传统安全对于软件开发来说就是一个“盲盒”。这便是最大的隐患所在。在软件开发完成并交付后，通过安全扫描才发现存在漏洞，这将导致开发返工，需要重新测试、重新打包。

正是为了避免这种情况的发生，“安全左移”的概念才应运而生。“当前，很多工具实际上‘左移’得并不彻底。”王青认为，“‘安全左移’不仅要提前到开发阶段，更要在每天进行开发工作时，都要进行安全扫描。JFrog已经在这样执行，在IDE开发工具中嵌入了扫描工具。就隔离仓库而言，JFrog Curation已经将‘安全左移’做到了极致。一旦发现恶意包攻击行为，JFrog绝对不会让这个包进入公司内网。”

第五，AI/ ML工具在安全领域的应用不成比例。

尽管有90%的受访者表示，他们的企业目前正以某种形式使用AI/ ML驱动的工具来协助安全扫描和修复工作，但只有32%的组织真正使用AI/ ML工具来编写代码。这反映出业内大多数人对AI生成的代码可能会为企业软件带来的潜在安全隐患仍持审慎态度。

走向集中化

软件供应链从2011年开始进入大众视野，到现在已经步入比较成熟的阶段。很多企业都清楚，要管理好自己的软件供应链，但是管理的工具、管理的方式各不相同。因此，就迫切需要建立相关的标准。

OpenSSF（开源软件安全基金会）提出了一个标准——SLSA，将企业内部管理软件供应链划分为四个级别，分别提出了不同的安全要求。王青认为，未来，企业也会像给DevOps评级一样，对软件供应链安全也进行评级，并通过评级让企业的CIO或CISO能够正确识别企业软件供应链管理的基本情况，为下一步的决策提供依据。

JFrog的产品早就支持美国电信管理局SBOM、Linux基金会SPDX等标准，不仅支持单文件的导出，而且支持聚合文件的导出。所以，不管企业是采用套包发布、文件夹发布还是镜像发布，JFrog都能一键支持SBOM导出，帮助企业快速生成软件供应链。“JFrog的方案能够确保端到端的供应链安全。企业如果采用JFrog的方案进行SLSA的评级，将获得很高级别的评定。”王青如是说。

未来,软件供应链的发展趋势一定是集中化的。它不会再像现在这样每种语言有一个单独的制品库，并进行单独的扫描，甚至每种语言要采购单独的扫描工具去扫描，而一定是集中式的、全语言的扫描。并且，扫描一定要高效，速度要快。现在，很多企业的软件发布都是一天多次，甚至是十次以上。如果漏洞扫描要花一个小时才能扫完，研发团队是完全不能接受的。王青强调说，在软件供应链评级上，要有一定的标准。企业要主动去适配相关的安全等级。

“中国市场的创新速度有目共睹，而且在硬件、软件上有越来越强烈的国产化的需求。我们在中国的一贯战略是‘in China，for China’。在过去一年，JFrog完成了在中国的全线产品对国产信创产品的适配。很多客户已经将JFrog的产品应用到其信创环境中。”董任远表示，“JFrog正在积极适配中国客户的需求，并在保持多样性的同时实现最大范围的兼容。此外，JFrog还针对中国的客户需求进行了大量优化和定制化的工作，包括制品库以及在安全方面，以确保中国用户在采用JFrog的产品时能够实现性能和效率的最大化，从而更好地满足中国企业的高速发展以及‘出海’需求。”

往/期/回/顾

从科技赋能到价值引领，东莞证券可进化的信创云建设启示录 “智算”雄起 | 智算操作系统要“顶天立地”

软件供应链安全，必须从“源”头抓起

顺丰供应链“数智门”的门里门外

DevOps领域少不了这只向前的“青蛙”

微信扫码关注该文公众号作者

戳这里提交新闻线索和高质量文章给我们。

来源: qq

点击查看作者最近其他文章