最近两三年来,针对开源软件供应链(Open-Source Software Supply Chain)的安全攻击愈演愈烈,我们昨天的周日特别推送里面刚刚介绍了关于开源生态中软件包相关的安全问题研究,今天的阅读推荐就和昨天的内容联动起来,介绍一篇研究人员对过去一段时间各种针对开源软件供应链攻击的系统化归类研究工作——Taxonomy of Attacks on Open-Source Software Supply Chains
在这篇SoK论文中,作者对开源软件供应链攻击进行了分类学(taxonomy)整理,一共整理了107个不同的攻击向量(attack vector),将它们组织成了一棵树——attack tree;基于这些攻击向量,作者又整理了33组不同的safeguard(不好翻译,直接使用英文,总不能翻译成“舒肤佳”吧);所有这些工作还邀请了17位领域专家和134位开发人员参与评估!
首先我们来看看下图展示的开源软件供应链生态。在当前的开源软件供应链生态中,和传统的企业(巨硬公司为代表)开发相比,参与的角色非常多元化,这其中难免有人浑水摸鱼在里面干点什么坏事。所以,安全研究社区更需要对整个生态中各个环节可能出现的攻击进行总结!
作者给我们展示了如何科学地进行攻击向量的分类调研的流程:如下图所示,1)先对科研文献和网络相关资料进行大规模的收集,整理得出attack vector和safeguard;2)对威胁模型和攻击树模型进行建模,得出初步的分类;3)邀请领域专家和开发人员参与,确定最终的攻击向量分类和safeguard
从作者对论文调研的结果来看,随着时间的推移,最近几年迎来了关于开源软件供应链安全研究的论文发表高峰:
接下来我们要请读者转动手机(或者在电脑屏幕前转动你的脑袋)来看论文中这幅关键的大图,它给出了整个研究的精华——关于开源代码供应链安全的攻击向量树状结构分类:
看完上面这幅图,你以为今天的阅读推荐就此结束了吗?不,真正的宝藏之地还没到达呢,继续往下看!
我们注意到,比起读论文,这篇论文提供的配套网站(SAP安全研究中心在背后出钱出力就是好):
https://sap.github.io/risk-explorer-for-software-supply-chains/
里面提供的内容和组织形式,比看论文舒服多了!
读者可以互动式地查看整个攻击分类树,还能方便地查询到相关的参考文献!
也可以按照list的方式来查看:
作者还邀请大家向本项目发起pull request,帮助他们完善相关内容,不得不说,为了发一篇S&P论文,现在的研究人员真是要做很多很多的内容,所以做研究真的是要出于真爱(或者请给研究人员很多很多钱)呀!
论文:https://arxiv.org/pdf/2204.04008.pdf
原文始发于微信公众号(安全研究GoSSIP):G.O.S.S.I.P 阅读推荐 2023-01-16
