2、2023 DODPPT-JFrog王青.pdf

《2、2023 DODPPT-JFrog王青.pdf》由会员分享，可在线阅读，更多相关《2、2023 DODPPT-JFrog王青.pdf（24页珍藏版）》请在三个皮匠报告上搜索。

1、依赖库，二方库和制品库的高效可信管理王青 JFrog技术总监2023 China DevOpsDays-8月12日 北京-3个人介绍议题：依赖库，二方库和制品库的高效可信管理1.企业制品库管理遇到的挑战 1.制品分散式管理，开源软件供应链攻击2.依赖库，二方库和制品库的管理 1.虚拟仓库，组织/部门级别仓库设定，制品晋级3.开源软件的治理 1.通过隔离仓库进行开源软件的治理 2.精准定位高危漏洞，快速修复版本企业制品库管理遇到的挑战软件供应链攻击1.成本低，范围广2.伪装在授信的软件背后3.攻击者的代码潜伏在开源社区的代码或者或伪装成开源社区软件的版本为什么会有这种攻击方式？Malicious

2、 codeDEPENDENCY TYPOSQUATTING 依赖误植Dependency Typosquatting-防范措施 下载软件包时务必小心，拼写准确，切勿猜测软件包名称 域名仿冒可以通过间接依赖项注入恶意包，这很难被发现 密切关注您的依赖关系树，了解您正在使用什么非常重要，这样您就可以在问题发生时发现问题DEPENDENCY CONFUSION第三方可能存在风险，所以我应该保持警惕，密切监控。至少我们公司的专有代码是安全的，我完全信任它！但是.这种攻击是如何执行的？大多数构建系统更优先使用公共存储库而不是私有存储库。这是真实的吗？在概念验证中，安全研究人员成功入侵了35家大型公司的内

3、部系统，实现了远程代码执行。DEPENDENCY CONFUSION-NPM1.黑客上传版本org-abc-app:3.99.99到npm registry 仓库(任何人均可注册)2.用户请求：org-abc-app:3.0.0(私有版本)3.在本地仓库中寻找最新兼容的 org-abc-app。找到版本为 3.2.4。4.在 npm-registry 代理远程仓库中寻找最新兼容的 org-abc-app。找到版本为 3.99.99。5.来自 npm registry 的伪造 org-abc-app 获胜，供应链被劫持。npm 版本3.0.0:=3.0.0 4.0.0初始入侵：攻击者通过各种手段

4、成功侵入了SolarWinds公司的内部网络。篡改软件更新：攻击者对Orion平台的软件更新程序进行了篡改。他们将恶意代码植入到正常的软件更新中，而这些更新将被传送给SolarWinds的客户。分发恶意更新：经过篡改的软件更新通过SolarWinds公司正常的更新渠道被分发给Orion平台的客户。客户通常会将它们下载并安装在其系统上。后门激活：一旦客户将篡改后的更新部署到其系统中，恶意代码就会在受影响的系统上激活。太阳风暴事件（SolarWinds事件）攻击原理18000家客户是我们估计最乐观的数字，它们可能在2020年3月至6月之间下载了这段恶意代码。-Solarwinds CEO在一个普通

5、的应用程序中，85-90%的代码库是开源的。99%的代码库至少包含一些开源代码，而75%的代码库使用了至少一个有漏洞的开源组件。代码库中有49%至少有一个高风险漏洞组件。90%的应用程序使用了至少一个开源组件，该组件已经有四年或更长时间没有更新，或者已经被放弃。“来自用户的需求“我对公司内部的第三方(OSS)库发生的情况没有任何可见性和控制权。我面临两个（糟糕的）选择：让开发继续为所欲为施加限制并减缓公司软件开发速度”CTO/CISO of a Fortune 100 Company如何优化制品库管理1.统一管理所有软件包三方库二方库版本库2.开源组件漏洞扫描虚拟仓库，远程仓库和本地仓库NEW

6、 PACKAGES5 5KNEW VERSIONS200200KNEW PACKAGES9595KNEW VERSIONS750750KNEW PACKAGES1515KNEW VERSIONS125125KNEW PACKAGES2020KNEW VERSIONS100100KJFrog扫描了160万个开源组件NEW PACKAGES6565KNEW VERSIONS500500KJFrog Curation&Advanced SecurityPublic RepoPubl