正當美國人的注意力於勞動節假期週末開始轉向烤肉和啤酒,美國網路司令部的網路戰士卻有別的顧慮:這項顧慮正是警告 Atlassian Confluence 軟體的180,000用戶,因為他們很有可能成為大規模攻擊的受害者;這類的軟體供應鏈攻擊在近期也屢屢頻傳。
今年 9 月 3 日所發布的 Twitter 中,美國網路司令部提出警告指出:「針對 Atlassian Confluence CVE-2021-26084 的大規模不當利用正在進行中,更預期會加速增加。 如果用戶尚未進行修補,請立即採取行動-這項修補不能等到週末之後。」
事實上,美國網路司令部發出如此嚴正的警語並不難讓人理解。 根據其網站,Atlassian 的 Confluence 軟體功能旨於「為您的團隊提供一個地方來創建、捕捉和協作處理任何項目或想法……因此每個團隊成員都可以了解機構知識並獲取他們所需的訊息以完成最佳工作 。」但也由於其開放和協作的性質,設法滲透到組織的 Confluence 協作工作平台的攻擊者也有機可乘,並可能盜取大量私人業務信息,進而對客戶和供應商發起供應鏈攻擊。當身處於這個“保持上線狀態”持續整合/持續部署 (CI/CD)的新時代,除了 Solar Winds、Codecov 和 Kaseya 等其他軟體供應鏈攻擊之外,軟體供應商應主動部署可以防止代碼篡改和保護軟體開發生命週期的完整性解決方案。
值得欣慰的是,越來越多的網路安全公司專門致力於保護開發人員代碼的安全。 以色列更是此領域中的佼佼者,請見以下部分優秀以色列公司簡介:
WhiteSource 為保護開源軟體包的安全性提供了一個全面的解決方案。它整合了開發環境和 DevOps 管道,可即時的檢測存在安全性或合規性問題的開源庫。 WhiteSource 還提供可操作、且經過驗證的修復路徑,能實現快速解決和自動化策略執行,以加快修復時間。 WhiteSource 可支援對 200 多種編程語言,並持續追踪多個開源漏洞數據庫,包括美國國家漏洞數據庫、安全公告、同行評審的漏洞知識庫和開源項目問題跟踪器。
Argon為軟體供應鏈提供整體安全性。 Argon 使 DevOps 和安全團隊能夠創建從提交到發布的防篡改軟體交付管道。 該公司率先上市的安全解決方案為 CI/CD 管道提供可見性、安全性和完整性,確保增加對軟體版本的信任。
Spectral 為公司和開發人員提供了一個自動化的代碼安全平台。 Spectral 的開發者優先方法專精於即時檢測和緩解任何可能導致大規模數據洩露和業務連續性問題的安全漏洞,使軟體能夠在任何平台上得到保護和自由傳輸。
Dustico 於近期被以色列網路公司 Checkmarx 收購,這也證明保護軟體供應鏈的重要性與日俱增。 Dustico 提供動態源代碼分析平台,以防止開源軟體供應鏈攻擊。 透過整合靜態和動態分析,該公司的代碼沙盒可檢測代碼更改過程中的惡意行為,並有助於在部署代碼之前防止不必要的惡意代碼和開源包。
Cycode其正在申請專利的 Source Path Intelligence 引擎為 IT 安全團隊提供所有本地和基於雲端的源代碼管理系統多重功能,囊括可見性、自動檢測和回報異常源代碼管道、移動和操作。 Cycode 透過實施新的安全措施和調整現有的管控機制,使用戶能夠在威脅出現時快速且有效地應對威脅。
欲知更多以色列的創新資訊,請垂詢http://www.itrade.gov.il/或駐台北以色列經濟貿易辦事處。
*本文由以色列經濟工業部駐美國華府經濟貿易辦事處 Mr. Josh Cohen所撰寫;繁體中文翻譯及編輯: Ms. Kai-ting Huang
