Szoftverellátási lánc függőségei
Az Egyesült Királyság Nemzeti Kiberbiztonsági Központja (NCSC) figyelmeztetése szerint a szoftverellátási lánc elleni támadások egyre gyakrabban nem magát a célalkalmazást, hanem annak külső függőségeit veszik célba. A modern alkalmazások jelentős része nyílt forráskódú könyvtárakra és csomagokra épül, amelyek további, úgynevezett tranzitív függőségeket töltenek be. Egyetlen kompromittált komponens így több ezer alkalmazásba is automatikusan bekerülhet.
Az NCSC szerint a fejlesztőszervezetek egyik legnagyobb problémája, hogy sok esetben nincsenek pontos ismereteik arról, milyen külső komponenseket tartalmaznak saját rendszereik. A SolarWinds, az XZ Utils, valamint az elmúlt hónapok npm- és PyPI-incidensei jól mutatják, hogy a támadók egyre gyakrabban kompromittálnak legitim fejlesztői fiókokat, csomagkezelő rendszereket vagy CI/CD-folyamatokat annak érdekében, hogy rosszindulatú kódot juttassanak el a végfelhasználókhoz.
A szervezet ezért kiemelten fontosnak tartja a szoftverek összetevőinek folyamatos nyilvántartását, különösen az úgynevezett Software Bill of Materials (SBOM) alkalmazását, amely részletes leltárt biztosít az alkalmazásban felhasznált könyvtárakról, azok verzióiról és eredetéről. Az SBOM lehetővé teszi, hogy egy új sérülékenység vagy ellátásilánc-incidens esetén gyorsan meghatározható legyen az érintettség.
Az NCSC hangsúlyozza, hogy a védekezés nem korlátozódhat a sérülékenységek javítására. A szervezeteknek törekedniük kell a függőségek számának minimalizálására, kizárólag megbízható és aktívan karbantartott projektek használatára, valamint a fejlesztési és build-folyamatok folyamatos ellenőrzésére. Különösen fontos a fejlesztői hitelesítő adatok védelme és a többtényezős hitelesítés alkalmazása, mivel az utóbbi időszak támadásai jellemzően kompromittált fejlesztői fiókokon keresztül valósultak meg.
