防止刪庫跑路及高階程式碼投毒技巧

2022-07-18 14:04:00

引言

事情是這樣的，最近在做開源軟體供應鏈安全相關的專案，之前沒了解這方面知識的時候感覺伺服器被黑，資料庫被刪，網站被攻，這些東西都離我們太遙遠了，因為感覺好像都輪不到我們，直到我開始做這個專案，才發現網路安全，軟體安全問題真的是無處不在。

今天我們來聊聊刪庫跑路和程式碼投毒。 我們從可操作性及易發現性還有後果及預防策略上來探討一下。

刪庫跑路

在軟體行業，“刪庫跑路”流傳已久，對，就是刪完庫，跑在監獄的路上，這個對於安全來說簡直是小兒科。

可操作性

1. 許可權控制

像資料這麼敏感的許可權會控制的比較嚴格，比如人員的許可權控制及防範：

運維人員需進行雙因素認證；
防火牆或其他安全裝置進行網路限制，僅允許從堡壘機才可存取至核心資產；
資料庫等系統資源賬號密碼託管在堡壘機中，堡壘機定期自動改密，運維人員無需知道資料庫等系統資源的賬號密碼；
嚴格控制後臺資源的存取許可權，做到存取許可權最小化原則，給不同運維人員分配最小存取許可權；
設定資料庫等高危操作命令的金庫模式，執行高危命令時可觸發阻斷、二次審批等操作；
根據實際情況設定更高階別安全限制，比如登入堡壘機時的IP地址、MAC地址限制，登入堡壘機的時間限制等等。

看到了沒，首先第一步你讓007來也不一定能搞定。就算僥倖跨過了第一步。。。然後就被警察抓走了。。。豬角卒。。

2. 資料備份

資料定期備份。
雲廠商資料防護。
異地多活。

就算刪了也能快速恢復。

綜上：你能刪庫的概率基本為0了，只要地球還在資料就還在。

易發現性

這個不用多講，即使能刪庫，有這個許可權的人一根指頭都能數清，那就是你了。。

影響後果

刪庫跑路一般是隻會影響自己的公司，對其他企業或者人員沒啥影響。但是對於你。。。。

相信你已經做出了你的選擇。

程式碼投毒

程式碼投毒，是指攻擊者在合法軟體的開發、傳播和升級過程中進行劫持或篡改，從而達到非法目的的攻擊型別。鑑於當前超過99%的商業軟體包含開源軟體，一旦具有大規模使用者基礎的開源軟體存在安全漏洞，勢必會影響整個軟體產業、甚至其他重要行業的供應鏈安全。

可操作性

包搶注攻擊

攻擊者通過向主流的軟體包管理員（PyPI、Node.js npm、Maven、RubyGems、Docker Hub）投放大量「相似拼寫名稱」諧音的軟體包或映象，仿冒正規專案，從而讓有惡意程式碼的程式碼包被安裝到開發或生產環境。

依賴庫注入惡意程式碼

攻擊者通過自身的攻擊能力與掌握的漏洞，入侵軟體、硬體供應商的辦公與開發環境，直接向產品程式碼內植入後門，在裝置上預安裝的惡意軟體 (相機、USB、電話等)，實現惡意程式碼與後門的分發，最終進入被攻擊目標的網路。

預防策略

1）企業內部維護可信軟體倉庫，儘量減少企業人員從各種未知渠道下載軟體。

2）監測伺服器和PC執行軟體的異常操作和流量，甚至提前對軟體進行沙盒檢測，主動發現潛在隱患。

3）全面梳理和維護企業在用軟硬體資訊，在供應鏈攻擊曝光時做到快速止損定損。

4）使用官方渠道下載的IDE；軟體分發及升級採用HTTPS等加密傳輸；避免內建遠端控制能力；定期自檢官網程式碼和執行程式是否存在惡意篡改。

對於企業級的，可以引入DevSecOps ，把安全掃描引入到DevOps流程當中，做好預警通知的能力，第一時間發現並修復軟體漏洞。

最後

不管是刪庫跑路還是程式碼投毒，這些都是法律的紅線，調侃歸調侃，玩笑歸玩笑，笑過以後，希望每個開發者都應該有敬畏之心，不然就只能到包吃包住的地方摸魚了。

以上就是防止刪庫跑路及高階程式碼投毒技巧的詳細內容，更多關於防止刪庫跑路程式碼投毒的資料請關注it145.com其它相關文章！

防止刪庫跑路及高階程式碼投毒技巧

目錄

引言

刪庫跑路

可操作性

1. 許可權控制

2. 資料備份

易發現性

影響後果

程式碼投毒

最近的案例

可操作性

預防策略

最後

熱門文章