专栏名称: 默安科技

引领下一代企业安全体系——开发安全（DevSecOps）与运营安全（AISecOps）双轮驱动。

杀疯了！谁说“微软蓝屏”对你没影响？（上）

默安科技 · 公众号 · 互联网安全 · 2024-07-24 17:46

主要观点总结

文章主要围绕软件供应链安全问题展开，因CrowdStrike公司升级安全软件引发的大规模宕机事件再次引发对软件供应链安全问题的关注。文章通过对话形式，介绍了软件供应链安全面临的风险，包括软件供应链投毒风险和断供风险，并给出了相关案例。同时，也探讨了面向云原生的软件供应链安全如何保障的问题。

关键观点总结

关键观点1: 软件供应链安全问题再次受到关注，因CrowdStrike事件引发大规模宕机。

文章介绍了软件供应链安全问题的背景和重要性，指出随着技术的发展，软件供应链变得日益复杂，孕育了新的安全挑战。

关键观点2: 软件供应链安全面临的风险包括投毒风险和断供风险。

文章通过默安科技产品总监的解读和案例，详细解释了这两种风险，投毒风险是最常见的风险类型之一，而断供风险可能导致核心功能瘫痪和客户服务中断。

关键观点3: 面向云原生的软件供应链安全至关重要。

随着容器化和微服务架构的普及，云原生软件的供应链安全问题也逐渐凸显。文章通过案例强调了保障云原生软件供应链安全的重要性。

正文

上周末，因CrowdStrike公司升级安全软件而引发的大规模宕机事件影响了全球大约850万台安装微软Windows操作系统的设备，本次蓝屏事件可能是有史以来最大的IT故障，同时也再一次把“软件供应链安全”问题推上了风口浪尖。

图源网络

在当今数字化时代，软件已成为推动社会进步、经济增长和企业创新不可或缺的核心驱动力。随着云计算、容器化、微服务架构等技术的广泛应用，软件的开发、部署与迭代速度达到了前所未有的高度，软件供应链也随之变得日益复杂和庞大。这一趋势在极大提升软件生产效率与灵活性的同时，也悄然孕育了一系列新的安全挑战。

今天，我们再次请到了 默安科技产品总监满弘鹏 ，为大家解答软件供应链安全的那些事儿。

安小默

哈喽小满，又和大家见面了。相信你也关注了近期的“微软蓝屏”事件，对此你怎么看呢？

小满

不知道你还记不记得 GB/T 43698-2024《网络安全技术软件供应链安全要求》 的解读视频，其中对“需方安全”提出明确要求：

作为软件需求方，应对软件采购、获取、运维、废止等各个环节进行严格控制，确保软件的安全性和可靠性 。

微软不按流程出牌，这才给了漏洞可乘之机。

安小默

所以，这次事件给软件供应链安全敲响了警钟，任重而道远啊...那目前来看， 软件供应链安全到底面临了哪些常见风险呢 ？

小满

问题一

安小默

刚刚听你说到“ 软件供应链投毒风险 ”其实是软件供应链安全风险里面最常见的风险类型之一，可以展开说说吗？

小满

问题二

安小默

这么精彩，能举个真实的例子吗？

小满

大家应该都听说过 XZ-Utils ，它作为一款开源的无损压缩命令行工具，可以用于处理.xz和.lzma文件的命令行压缩工具，集成了liblzma等组件。

今年3月，一名微软的PostgresSQL工程师在X上发出警告，称在做postgres的基准测试时发现sshd进程的CPU占用率异常的高，而其中的CPU时间大多都分配给了liblzma。

之后，该名工程师向Openwall项目的开源安全邮件列表报告了他的发现，并引起多家软件厂商的注意，最终被确认是XZ的5.6.0和5.6.1版本中存在SSH后门。在存在后门的版本中，恶意代码修改了liblzma代码中的函数，攻击者利用这一漏洞破坏ssh认证，并远程获取对整个系统的未授权访问。

图源网络

安小默

刚刚你还提到了 软件供应链断供风险 ，也有相关案例分享下吗？

小满

某全球领先的金融科技公司专注于开发用于交易和风险管理的高级软件解决方案，其核心产品依赖于一个名为 XYZLib 的开源库，该库提供了关键的加密功能和数据解析功能。

图源 AI作图

XYZLib 是一个广泛使用的第三方库，由一个小型开源社区维护，并托管在一个公共代码仓库中。但在今年7月，XYZLib 的维护团队突然宣布，他们将停止对该库的支持，并将其从公共代码仓库中删除，原因是维护者无法继续投入时间和资源。

这一决定的突然性给该金融科技公司带来了巨大的影响，因为 XYZLib 是其核心产品的一个关键组件，最终造成了核心功能瘫痪和客户服务中断。

安小默

好可怕！听说我们的产品可以防范供应链断供风险，可以给我们展开讲讲具体功能吗？

小满

问题三

安小默