供应链攻击:保护软件供应链的 6 个步骤
来源:云原生技术爱好者社区 作者:MACKENZIE 本文着眼于软件供应链攻击,它们究竟是什么,以及您可以遵循的 6 个步骤来保护您的软件供应链并限制供应链攻击的影响。 在过去几年中,我们看到软件供应链攻击大幅增加。什么是供应链攻击?这是一种网络安全攻击,攻击者将恶意代码或组件放入受信任的软件或硬件中。这种攻击的目标是能够渗透到受影响组件链下游的组织。 在最近的历史中,供应链攻击的重点一直是受损的硬件,但随着一些引人注目的事件发生,我们已经看到话题转向了软件。本文将专门研究与软件相关的供应链攻击,并使用最近的示例来展示公司可以采取哪些措施来保护自己免受此类攻击。 一、软件供应链 要理解这种类型的攻击,我们需要熟悉当今应用程序不是单一软件的概念。它们由数百个构建块、开源库和包、SaaS 工具、DevOps 系统、云基础设施等组成。这变得更加复杂,因为这些构建块中的每一个也是由许多不同的构建块构建而成的。如果您分层考虑这一点,一个软件可能有数百层深,每个组件都有依赖关系,直到您一直深入到 CPU 指令集。您经常会听到开发人员使用的一句话,“全都是乌龟”。这是一个描述无限回归问题的表达,指的...
