1. CoinON官网首页
  2. 新闻
  3. 头条

慢雾出品|Web3 行业供应链安全指南背景概述供应链安全源码安全构建安全传输安全制品安全部署安全总结

Bob鲍师傅 头条 阅读 2353

背景概述

2022 年 12 月 21 日,Web3 基础设施提供商 Ankr 发布事后报告,公布因 aBNBc 代币漏洞导致 500 万美金加密货币被黑的调查结果。Ankr 前团队成员恶意地进行了供应链攻击,插入恶意代码包,只要项目方进行合法更新,该代码包就能够破坏 Ankr 的私钥。Ankr 正在与执法部门合作,起诉这名前团队成员并将黑客绳之以法。

慢雾出品|Web3 行业供应链安全指南

随着 Web3 行业的不断发展,近些年供应链安全形势日益成为 Web3 行业以及全球关注的焦点。而现代软件开发依赖于各种第三方组件和外部服务,软件供应链已经变得更加复杂和庞大,这也为恶意攻击者提供了更多的机会来操纵和渗透软件供应链,从而对企业和用户的数据、资产造成巨大威胁。

最近几年的事件表明,供应链安全漏洞可能导致严重的后果。恶意软件和恶意代码可以在软件供应链的不同环节中植入,包括开发工具、第三方库、云服务和更新过程。一旦这些恶意元素被成功注入,攻击者可以利用它们来窃取加密货币资产和用户敏感信息、破坏系统功能、勒索企业或大规模传播恶意软件。

供应链安全

慢雾出品|Web3 行业供应链安全指南

鉴于以上原因,慢雾安全团队将从源码安全,构建安全,传输安全,制品安全和部署安全这 5 个关键环节的供应链安全提出安全建议。这 5 个环节都需要围绕输入/产出可验证,操作过程可自动化,在受控环境授权下进行,操作人员/系统都要经过安全认证这几个纬度进行增强。

源码安全

1. 代码管理

使用 GitHub 或者 GitLab 等代码版本管理方案,不仅可以方便高效的对项目的代码进行管理,还可以在发现代码后门等场景下快速定位提交代码的角色。

2. 代码提交

代码的提交要保证完整性,确保经过安全检测后的代码被完整地提交,并且避免提交的过程中被植入其他非预期的代码(存在漏洞的代码或后门代码)可以使用 GitHub 的 signing commits [1] 功能或 GitLab 类似的功能 gpg signed commits [2] 来保证提交的代码的完整性,并且在合并代码的时候需要可信的角色账号用 git merge -S –verify-signatures 验证签名 [3] [4]。

3. 代码扫描

管理代码的同时也需要对代码的安全进行扫描,可以使用:SonarQube [5] 或 Snyk Code [6] 对代码进行静态扫描 [7],切记提交的代码中不能包含有认证、隐私、私钥等文件,敏感的 API 或者认证的 Keys 等等,开发者可以使用 TruffleHog [8] 或 GitHub 的 secret-scanning [9] 工具对提交的数据进行安全扫描,来发现提交的代码中的敏感信息(如:助记词或私钥信息)。

4. CI/CD

执行 CI/CD [10] 可以帮助研发团队实现自动化构建,测试,部署的流程,避免在集成和交付项目的过程有太多的手动操作,因为我们很难约束所有人都严格按照流程和标准实施操作。通过 CI/CD, 可以更好地按照流程推进构建,测试,部署的操作,也有助于收敛服务器等相关 IT 资产的访问权限。CI/CD 可以使用 CircleCi [11] 和 GitHub Actions [12] 等方案实现 [13]。

5. 物料安全

物料安全的通俗解释即需要对接入的第三方服务,组件和依赖库进行初步的安全评估,确保第三方风险管理可控,评估工作应尽可能包含:

  • 提供方是否可靠。一般认为大厂出品的组件较为可靠,但是也有某些大厂提供的组件经常被披露安全漏洞,所以也需要根据组件/服务历史上出现漏洞的频率进行评估;
  • 源码是否开源。未开源的依赖库可能会引入后门,所以应优先选择知名,开源的库;
  • 制品是否可验证。使用第三方提供的程序时,要经过 checksums 的验证;
  • 对接方案是否完备。使用第三方服务,组件,依赖库时要有完备的对接方案,确保在接入的时候尽可能地列出所有潜在的安全风险,并输出安全性需求分析(列风险,出需求,这部分需要充分考虑第三方服务,组件,依赖库出现异常或者被攻破后对项目的影响)。

要对物料安全进行监测,确保第三方服务,组件,依赖库的风险可控可以从管理手段,技术手段,威胁情报 3 个方面展开工作:

  • 管理手段:可以借鉴 OWASP 的 SCVS [14] 标准实施相应的基线和流程;
  • 技术手段:安全人员可以使用 Dependency Track [15],Snyk [16],Murphysec [17] 等产品对物料进行监测,研发人员可以在研发的过程中将类似 Dependency Check,Snyk 的 open source security management [18] 等工具集成到开发的工具或流程中,协助研发人员发现第三方依赖版本上的安全问题;
  • 威胁情报:可以通过 security.snyk.io,Vuldb 的漏洞情报第一时间对受到影响的项目进行升级或修复处理。

构建安全

大部分研发团队采用手动对项目的程序或 Docker 镜像进行构建,构建完成后再手动推送到制品仓库或生产服务器上,在这过程中存在许多的安全风险:

  • 在研发人员本地电脑进行程序或 Docker 镜像的构建,这种情况下很难保证本地的物料是安全的;
  • 人为进行程序或 Docker 镜像的构建,这种情况下很难保证构建人员不会引入非预期的代码;
  • 人为进行程序或 Docker 镜像的构建,就算有严格的安全流程,也很难保证构建人员会 100% 遵循安全流程;
  • 构建人员的本地环境很容易脱离安全管理的控制。

而通过在服务上部署自动化构建平台,可以很好的对构建流程进行安全管理,并且构建流程是由平台控制的,只要制定好构建的流程和规则,管理人员控制好平台的访问权限,就能确保每次的构建流程都符合预期。

在编译构建项目的应用程序或 Docker 镜像的时候,一般是采用 Jenkins 平台进行自动化构建。使用 Jenkins 等自动化构建平台时,需要严格按照官方的安全建议 [19] 进行配置,并且这类研发和运维的平台除了要做好平台账号的访问权限控制,还可以通过 SSO 或 MFA [20] 加强登录验证,在网络层面上对访问进行限制,可以限制仅使用公司的 VPN 才能访问。

通过部署自动化构建平台,使得程序或 Docker 镜像均由平台按照管理人员制定的流程和规则自动完成构建,减少人为操作可能不遵守流程和规则的情况,并避免了人为构建可能引入非预期代码的风险。同时自动化构建平台还可以与代码管理和代码扫描联动,如:使用 jenkins-pipeline-with-sonarqube-and-gitlab 的方案 [21],从代码提交,代码扫描,构建部署实施自动化操作和管理。

传输安全

在整个代码管理,自动化构建的过程中遵循最小化权限控制和最小化网络访问,尽可能按照工作或岗位职责给每个人员角色分配最小化的权限,使用 IP 白名单和 VPN 的方式对网络访问进行限制,并且在构建后使用认证和通讯加密的方式将制品传输到制品仓库 [22] [23] 中进行管理。

制品安全

制品即需要发布的稳定版本程序。构建时会将哈希和签名信息放在程序的摘要里,每当使用到制品的时候,需要验证制品的签名或哈希摘要信息。可以使用 Cosign 或 Notary 对制品进行签名和验签,通常还需要使用制品管理平台(如:Nexus Repository Manager [24] 和 Harbor [25])进行制品的管理,同样也需要遵循遵循最小化权限控制和最小化网络访问,可以使用 Nexus Repository Manager SSO 方案 [26] 和 Harbor SSO 方案 [27] 结合 MFA 以及 VPN 的方式控制登录和访问权限。

部署安全

部署分为首次部署和更新部署,首次部署之前要确保部署项目的服务器进行了基础安全加固:

  • 确保服务器是新开启和初始化的,如果是云服务器,那么云平台的账号要做好权限划分,并强制要求开启 MFA;
  • 确保服务器仅开启必要的端口,并且 SSH 开启 IP 白名单和 MFA 的限制;
  • 确保服务器安装了 HIDS 或 XDR;
  • 确保服务器开启了日志记录,可以使用 CrowdStrike Falcon LogScale [28] 或 Splunk [29] 对日志进行收集;
  • 开启域名隐私保护,注册后添加 CDN 并绑定 IP,避免真实 IP 泄露。

项目部署最好采用自动化部署的方式(如:Jenkins 自动化部署 [30]),避免由于手动部署导致服务器的登录权限出现管理紊乱的情况。

更新部署包含服务端程序和客户端程序的更新,如何规范化更新操作可以参考theupdateframework [31] 的方案。

总结

在 Web3 的发展过程中,供应链安全问题尤为重要。尽管 Web3 的去中心化特性带来了许多优势,但也带来了新的供应链安全挑战。慢雾安全团队希望通过发布《Web3 行业供应链安全指南》为 Web3 行业的项目方提供安全建议,共同促进 Web3 行业健康、安全、稳定地发展。

参考链接:

[1] https://docs.github.com/en/authentication/managing-commit-signature-verification/signing-commits

[2] https://docs.gitlab.com/ee/user/project/repository/gpg_signed_commits/

[3] https://docs.github.com/en/authentication/managing-commit-signature-verification/telling-git-about-your-signing-key

[4] https://www.chainguard.dev/unchained/keyless-git-commit-signing-with-gitsign-and-github-actions

[5] https://www.sonarsource.com/products/sonarqube/

[6] https://snyk.io/product/snyk-code/

[7] https://owasp.org/www-community/Source_Code_Analysis_Tools

[8] https://github.com/trufflesecurity/trufflehog

[9] https://docs.github.com/en/code-security/secret-scanning/secret-scanning-partner-program

[10] https://resources.github.com/ci-cd/

[11] https://circleci.com/

[12] https://docs.github.com/en/actions

[13] https://about.gitlab.com/blog/2021/08/30/secure-pipeline-with-single-sign-in/

[14] https://github.com/OWASP/Software-Component-Verification-Standard

[15] https://dependencytrack.org/

[16] https://snyk.io/solutions/software-supply-chain-security/

[17] https://github.com/murphysecurity/murphysec

[18] https://snyk.io/product/open-source-security-management/

[19] https://www.jenkins.io/doc/book/security/

[20] https://plugins.jenkins.io/miniorange-saml-sp/

[21] https://gcore.com/learning/jenkins-pipeline-with-sonarqube-and-gitlab/

[22] https://gcore.com/learning/publishing-artifacts-to-nexus-using-jenkins-pipelines/

[23] https://www.kubesphere.io/docs/v3.3/devops-user-guide/how-to-integrate/harbor/

[24] https://www.sonatype.com/products/sonatype-nexus-repository

[25] https://goharbor.io/docs/2.7.0/working-with-projects/working-with-images/sign-images/

[26] https://help.sonatype.com/repomanager3/nexus-repository-administration/user-authentication/saml

[27] https://goharbor.io/docs/1.10/administration/configure-authentication/oidc-auth/

[28] https://www.crowdstrike.com/guides/linux-logging/

[29] https://www.splunk.com/en_us/home-page.html

[30] https://www.jenkins.io/doc/pipeline/tour/deployment/

[31] https://theupdateframework.io/security/#attacks-and-weaknesses

转载声明:本文 由CoinON抓取收录,观点仅代表作者本人,不代表CoinON资讯立场,CoinON不对所包含内容的准确性、可靠性或完整性提供任何明示或暗示的保证。若以此作为投资依据,请自行承担全部责任。

声明:图文来源于网络,如有侵权请联系删除

风险提示:投资有风险,入市需谨慎。本资讯不作为投资理财建议。

(0)
打赏 微信扫一扫 微信扫一扫
Bob鲍师傅Bob鲍师傅
0
上一篇 2023年6月25日 下午2:18
下一篇 2023年6月25日 下午2:18

相关推荐

慢雾出品|Web3 行业供应链安全指南背景概述供应链安全源码安全构建安全传输安全制品安全部署安全总结

星期日 2023-06-25 14:18:36

背景概述

2022 年 12 月 21 日,Web3 基础设施提供商 Ankr 发布事后报告,公布因 aBNBc 代币漏洞导致 500 万美金加密货币被黑的调查结果。Ankr 前团队成员恶意地进行了供应链攻击,插入恶意代码包,只要项目方进行合法更新,该代码包就能够破坏 Ankr 的私钥。Ankr 正在与执法部门合作,起诉这名前团队成员并将黑客绳之以法。

慢雾出品|Web3 行业供应链安全指南

随着 Web3 行业的不断发展,近些年供应链安全形势日益成为 Web3 行业以及全球关注的焦点。而现代软件开发依赖于各种第三方组件和外部服务,软件供应链已经变得更加复杂和庞大,这也为恶意攻击者提供了更多的机会来操纵和渗透软件供应链,从而对企业和用户的数据、资产造成巨大威胁。

最近几年的事件表明,供应链安全漏洞可能导致严重的后果。恶意软件和恶意代码可以在软件供应链的不同环节中植入,包括开发工具、第三方库、云服务和更新过程。一旦这些恶意元素被成功注入,攻击者可以利用它们来窃取加密货币资产和用户敏感信息、破坏系统功能、勒索企业或大规模传播恶意软件。

供应链安全

慢雾出品|Web3 行业供应链安全指南

鉴于以上原因,慢雾安全团队将从源码安全,构建安全,传输安全,制品安全和部署安全这 5 个关键环节的供应链安全提出安全建议。这 5 个环节都需要围绕输入/产出可验证,操作过程可自动化,在受控环境授权下进行,操作人员/系统都要经过安全认证这几个纬度进行增强。

源码安全

1. 代码管理

使用 GitHub 或者 GitLab 等代码版本管理方案,不仅可以方便高效的对项目的代码进行管理,还可以在发现代码后门等场景下快速定位提交代码的角色。

2. 代码提交

代码的提交要保证完整性,确保经过安全检测后的代码被完整地提交,并且避免提交的过程中被植入其他非预期的代码(存在漏洞的代码或后门代码)可以使用 GitHub 的 signing commits [1] 功能或 GitLab 类似的功能 gpg signed commits [2] 来保证提交的代码的完整性,并且在合并代码的时候需要可信的角色账号用 git merge -S –verify-signatures 验证签名 [3] [4]。

3. 代码扫描

管理代码的同时也需要对代码的安全进行扫描,可以使用:SonarQube [5] 或 Snyk Code [6] 对代码进行静态扫描 [7],切记提交的代码中不能包含有认证、隐私、私钥等文件,敏感的 API 或者认证的 Keys 等等,开发者可以使用 TruffleHog [8] 或 GitHub 的 secret-scanning [9] 工具对提交的数据进行安全扫描,来发现提交的代码中的敏感信息(如:助记词或私钥信息)。

4. CI/CD

执行 CI/CD [10] 可以帮助研发团队实现自动化构建,测试,部署的流程,避免在集成和交付项目的过程有太多的手动操作,因为我们很难约束所有人都严格按照流程和标准实施操作。通过 CI/CD, 可以更好地按照流程推进构建,测试,部署的操作,也有助于收敛服务器等相关 IT 资产的访问权限。CI/CD 可以使用 CircleCi [11] 和 GitHub Actions [12] 等方案实现 [13]。

5. 物料安全

物料安全的通俗解释即需要对接入的第三方服务,组件和依赖库进行初步的安全评估,确保第三方风险管理可控,评估工作应尽可能包含:

  • 提供方是否可靠。一般认为大厂出品的组件较为可靠,但是也有某些大厂提供的组件经常被披露安全漏洞,所以也需要根据组件/服务历史上出现漏洞的频率进行评估;
  • 源码是否开源。未开源的依赖库可能会引入后门,所以应优先选择知名,开源的库;
  • 制品是否可验证。使用第三方提供的程序时,要经过 checksums 的验证;
  • 对接方案是否完备。使用第三方服务,组件,依赖库时要有完备的对接方案,确保在接入的时候尽可能地列出所有潜在的安全风险,并输出安全性需求分析(列风险,出需求,这部分需要充分考虑第三方服务,组件,依赖库出现异常或者被攻破后对项目的影响)。

要对物料安全进行监测,确保第三方服务,组件,依赖库的风险可控可以从管理手段,技术手段,威胁情报 3 个方面展开工作:

  • 管理手段:可以借鉴 OWASP 的 SCVS [14] 标准实施相应的基线和流程;
  • 技术手段:安全人员可以使用 Dependency Track [15],Snyk [16],Murphysec [17] 等产品对物料进行监测,研发人员可以在研发的过程中将类似 Dependency Check,Snyk 的 open source security management [18] 等工具集成到开发的工具或流程中,协助研发人员发现第三方依赖版本上的安全问题;
  • 威胁情报:可以通过 security.snyk.io,Vuldb 的漏洞情报第一时间对受到影响的项目进行升级或修复处理。

构建安全

大部分研发团队采用手动对项目的程序或 Docker 镜像进行构建,构建完成后再手动推送到制品仓库或生产服务器上,在这过程中存在许多的安全风险:

  • 在研发人员本地电脑进行程序或 Docker 镜像的构建,这种情况下很难保证本地的物料是安全的;
  • 人为进行程序或 Docker 镜像的构建,这种情况下很难保证构建人员不会引入非预期的代码;
  • 人为进行程序或 Docker 镜像的构建,就算有严格的安全流程,也很难保证构建人员会 100% 遵循安全流程;
  • 构建人员的本地环境很容易脱离安全管理的控制。

而通过在服务上部署自动化构建平台,可以很好的对构建流程进行安全管理,并且构建流程是由平台控制的,只要制定好构建的流程和规则,管理人员控制好平台的访问权限,就能确保每次的构建流程都符合预期。

在编译构建项目的应用程序或 Docker 镜像的时候,一般是采用 Jenkins 平台进行自动化构建。使用 Jenkins 等自动化构建平台时,需要严格按照官方的安全建议 [19] 进行配置,并且这类研发和运维的平台除了要做好平台账号的访问权限控制,还可以通过 SSO 或 MFA [20] 加强登录验证,在网络层面上对访问进行限制,可以限制仅使用公司的 VPN 才能访问。

通过部署自动化构建平台,使得程序或 Docker 镜像均由平台按照管理人员制定的流程和规则自动完成构建,减少人为操作可能不遵守流程和规则的情况,并避免了人为构建可能引入非预期代码的风险。同时自动化构建平台还可以与代码管理和代码扫描联动,如:使用 jenkins-pipeline-with-sonarqube-and-gitlab 的方案 [21],从代码提交,代码扫描,构建部署实施自动化操作和管理。

传输安全

在整个代码管理,自动化构建的过程中遵循最小化权限控制和最小化网络访问,尽可能按照工作或岗位职责给每个人员角色分配最小化的权限,使用 IP 白名单和 VPN 的方式对网络访问进行限制,并且在构建后使用认证和通讯加密的方式将制品传输到制品仓库 [22] [23] 中进行管理。

制品安全

制品即需要发布的稳定版本程序。构建时会将哈希和签名信息放在程序的摘要里,每当使用到制品的时候,需要验证制品的签名或哈希摘要信息。可以使用 Cosign 或 Notary 对制品进行签名和验签,通常还需要使用制品管理平台(如:Nexus Repository Manager [24] 和 Harbor [25])进行制品的管理,同样也需要遵循遵循最小化权限控制和最小化网络访问,可以使用 Nexus Repository Manager SSO 方案 [26] 和 Harbor SSO 方案 [27] 结合 MFA 以及 VPN 的方式控制登录和访问权限。

部署安全

部署分为首次部署和更新部署,首次部署之前要确保部署项目的服务器进行了基础安全加固:

  • 确保服务器是新开启和初始化的,如果是云服务器,那么云平台的账号要做好权限划分,并强制要求开启 MFA;
  • 确保服务器仅开启必要的端口,并且 SSH 开启 IP 白名单和 MFA 的限制;
  • 确保服务器安装了 HIDS 或 XDR;
  • 确保服务器开启了日志记录,可以使用 CrowdStrike Falcon LogScale [28] 或 Splunk [29] 对日志进行收集;
  • 开启域名隐私保护,注册后添加 CDN 并绑定 IP,避免真实 IP 泄露。

项目部署最好采用自动化部署的方式(如:Jenkins 自动化部署 [30]),避免由于手动部署导致服务器的登录权限出现管理紊乱的情况。

更新部署包含服务端程序和客户端程序的更新,如何规范化更新操作可以参考theupdateframework [31] 的方案。

总结

在 Web3 的发展过程中,供应链安全问题尤为重要。尽管 Web3 的去中心化特性带来了许多优势,但也带来了新的供应链安全挑战。慢雾安全团队希望通过发布《Web3 行业供应链安全指南》为 Web3 行业的项目方提供安全建议,共同促进 Web3 行业健康、安全、稳定地发展。

参考链接:

[1] https://docs.github.com/en/authentication/managing-commit-signature-verification/signing-commits

[2] https://docs.gitlab.com/ee/user/project/repository/gpg_signed_commits/

[3] https://docs.github.com/en/authentication/managing-commit-signature-verification/telling-git-about-your-signing-key

[4] https://www.chainguard.dev/unchained/keyless-git-commit-signing-with-gitsign-and-github-actions

[5] https://www.sonarsource.com/products/sonarqube/

[6] https://snyk.io/product/snyk-code/

[7] https://owasp.org/www-community/Source_Code_Analysis_Tools

[8] https://github.com/trufflesecurity/trufflehog

[9] https://docs.github.com/en/code-security/secret-scanning/secret-scanning-partner-program

[10] https://resources.github.com/ci-cd/

[11] https://circleci.com/

[12] https://docs.github.com/en/actions

[13] https://about.gitlab.com/blog/2021/08/30/secure-pipeline-with-single-sign-in/

[14] https://github.com/OWASP/Software-Component-Verification-Standard

[15] https://dependencytrack.org/

[16] https://snyk.io/solutions/software-supply-chain-security/

[17] https://github.com/murphysecurity/murphysec

[18] https://snyk.io/product/open-source-security-management/

[19] https://www.jenkins.io/doc/book/security/

[20] https://plugins.jenkins.io/miniorange-saml-sp/

[21] https://gcore.com/learning/jenkins-pipeline-with-sonarqube-and-gitlab/

[22] https://gcore.com/learning/publishing-artifacts-to-nexus-using-jenkins-pipelines/

[23] https://www.kubesphere.io/docs/v3.3/devops-user-guide/how-to-integrate/harbor/

[24] https://www.sonatype.com/products/sonatype-nexus-repository

[25] https://goharbor.io/docs/2.7.0/working-with-projects/working-with-images/sign-images/

[26] https://help.sonatype.com/repomanager3/nexus-repository-administration/user-authentication/saml

[27] https://goharbor.io/docs/1.10/administration/configure-authentication/oidc-auth/

[28] https://www.crowdstrike.com/guides/linux-logging/

[29] https://www.splunk.com/en_us/home-page.html

[30] https://www.jenkins.io/doc/pipeline/tour/deployment/

[31] https://theupdateframework.io/security/#attacks-and-weaknesses

主页
快讯
精选
电报