从Codecov脚本遭篡改来谈如何保障软件供应链安全

2021-04-20 14:51

上周四,用于托管代码测试报告和数据的 Codecov 在线平台称,Bash Uploader 脚本遭恶意修改,客户持续集成环境中的敏感信息被暴露。该软件在全球范围内有2.9万名客户使用,可能爆发大规模数据泄密事件,FBI已经紧急启动影响评估调查。

Codecov 虽然在4月1日就获悉此事,但调查认为,实际上这起软件供应链攻击早在今年1月末就已发生,攻击者潜伏了长达2个月之久。



Codecov 表示,直到本月早些时候,一位精明的客户发现该工具有些不对劲,才发现了这一入侵事件。虽然事件的后果尚不清楚,但这次入侵事件与最近美国软件公司SolarWinds被俄罗斯黑客入侵事件相提并论,一是因为这次入侵事件可能对众多使用Codecov的机构产生后续影响,二是因为被篡改的软件流通时间太长。


该公司在其网站上表示,它有2.9万家客户,包括消费品集团宝洁公司、网络托管公司GoDaddy Inc、华盛顿邮报和澳大利亚软件公司Atlassian Corporation PLC。


宝洁、GoDaddy和《华盛顿邮报》没有立即回复寻求评论的信息。Atlassian表示,它知道这一情况,正在进行调查,并且还没有发现任何证据表明其受到了影响。


以色列源代码保护公司Cycode的Dor Atias表示,Codecov使用场景广泛,"大企业、小公司和开源工具都在使用"。入侵Codecov意味着 "你可以从很多大公司获得大量数据,"他说,"这是很大件事。"


Codecov表示,联邦政府正在对此事进行调查期间拒绝对其事进行详细说明。联邦调查局和国土安全部的网络安全部门周五均没有立即回复置评要求。


Codecov 获悉此事后立即采取缓解措施,如:

  • 轮换所有相关内部凭据,包括用于方便修改 Bash Uploader 的密钥;

  • 审计可访问该密钥的位置和方法;

  • 设置监控和审计工具,确保未来不会发生非意图内的修改;

  • 和第三方服务器托管提供商合作,确保恶意webserver 已被正确弃用。


Codecov 公司指出,虽然设置了安全策略、程序、实践和控制以及持续监控网络和系统中的异常活动,但仍然发生了这起事件。


近年来全球发生了多起软件供应链安全事件,而当前软件开发过程中的不安全开发过程,才是为网络安全与信息安全保障埋下隐患的根本技术原因。做好软件安全开发、在软件研发过程中保障安全才是阶段之道。据统计,应用安全开发流程工具的平均成本占软件开发总成本的3%到5%,却可以避免因安全事故或黑客入侵而造成远高于整体开发成本的损失。安全开发的本质是从信息化产品开发的源头保障网络安全。


作为软件安全行业创领者,开源网安一直以来秉承“捍卫中国软件安全”的核心理念,致力于帮助企业提升软件的安全与质量,持续向客户提供覆盖软件安全开发全生命周期的安全产品、解决方案、安全培训及安全服务。


其中开源网安软件安全全生命周期平台(S-SDLC)整合了安全开发流程、方法、工具,帮助企业快捷交付安全、可靠的软件。平台继承开源网安庞大的威胁数据库和安全需求库,全面覆盖软件开发从架构设计到部署运维各个阶段的安全需求。以打造安全的软件产品为核心目标,基于差距分析和现有开发流程,着重构造安全开发能力,可定制化交付。

除此之外,开源网安还提供灰盒安全测试平台(VulHunter)、开源组件安全及合规管理平台(SourceCheck)、代码审核平台(CodeSec)、模糊测试平台(SFuzz)、实时应用自我防护平台(RASP)等多项产品,同时,基于各产品综合特性,进行优化组合,提供DevSecOps平台解决方案,为软件安全保驾护航。




关于开源网安




开源网安成立于2013年,总部在深圳,同时设有北京、上海、成都、武汉、合肥分支机构。开源网安团队的核心成员由来自惠普、华为、思科等行业顶级的安全专家组成,核心团队成员从业经验均为10年以上。公司秉承“捍卫中国软件安全”的核心理念,帮助企业提升软件产品的安全与质量。


开源网安具有大量世界500强成功案例及S-SDLC实施经验,十年磨一剑,专注“软件安全”行业,完全拥有“自主知识产权”,也是国产化替代Gartner应用安全魔力象限“领导者”厂商,并能为客户提供安全开发全生命周期解决方案(S-SDLC)、DevSecOps解决方案和完整的软件开发工具链(IAST、SAST、SCA、FUZZ、RASP),为客户实现软件产品快速安全交付保驾护航。