首页 > 最新消息 >[网管人文章分享] DevSecOps重构软体防线 遏制供应链入侵威胁

最新消息

2025-06-03

[网管人文章分享] DevSecOps重构软体防线 遏制供应链入侵威胁


近年来应用程式安全议题因一连串重大的信息安全事件而备受关注。从第三方元件遭入侵,到开源套件遭植入恶意程式的案例频传,显示出企业软体供应链正面临前所未有的挑战。在当今软体开发节奏日益加快、攻击技术持续演进的环境下,如何在不牺牲速度与创新前提下强化软体安全,成为企业面临的重要课题。

对此,DevSecOps议题开始受到企业关注,因应现代化应用程式安全的挑战,融合了开发(Development)、信息安全(Security)与维运(Operations)三大职能,透过文化转型与流程自动化,将信息安全控制措施内嵌于软体开发生命周期(SDLC)的每一个阶段,从源头确保软体安全,并提升整体交付品质。

从几起值得高度关注的软体供应链攻击事件来看,达友科技副总林皇兴指出,首先是2024年10月,发生于NPM套件库的供应链攻击震撼了众多开发者。事件主角是名为Lottie Player的JavaScript动画元件,此元件广泛应用于网站前端介面,每周平均有8.4万次下载纪录。骇客趁隙植入三个恶意版本,意图窃取使用者的数位加密钱包信息。攻击方式是透过窃取开发团队其中一名成员的API凭证,利用此Token进行套件版本更新,进而散播含有恶意程式码的版本。此事件凸显出,就算套件来自知名来源,若存取权限未妥善保护,也将成为骇客的入侵管道。更令人警惕的是,即便平台如GitHub已强制启用多因子认证,但一旦凭证落入恶意人士之手,仍无法完全阻止更新流程被渗透。

伪冒开源套件渗透手法 

类似的供应链风险也发生于Python的PyPI套件生态中。一种名为Revival Hijack的攻击技术,就是锁定那些已被原作者弃用的套件名称,骇客伪装成新的维护者重新注册该套件,释出内含恶意程式的新版本。若企业CI/CD流程中设定为自动更新套件版本,便极有可能在未察觉的情况下,将恶意程式编入正式产品。林皇兴认为,值得留意的是由于PyPI平台每月有数百甚至上千个专案被下架,估计至少有2.2万个专案可能因此手法遭受攻击,而目前PyPI尚无法有效阻止此类伪冒套件的行为。

另一令人震惊的案例则发生于今年(2025)3月,骇客成功入侵GitHub Actions的知名流程模组「tj-actions/changed-files」,并植入恶意Python Script。这段程式码会在CI/CD流程中偷偷搜寻记忆体中的API金钥、Token及使用者凭证,并以Base64方式写入workflow log。骇客只需存取记录档,便能获取这些高敏感性资料。此事件说明,即便CI/CD能带来开发效率的大幅提升,若缺乏妥善监控与验证机制,也可能沦为资料外泄的帮凶。

此外,还有骇客将恶意程式码植入合法的jQuery元件,并上传至NPM平台,引导使用者误信其为官方维护套件。某些网站在更新后便出现模拟Microsoft 365登入画面,用以窃取帐密信息,让受害网站沦为钓鱼工具。这种「以合法包裹恶意」的手法,对信息安全防御形成极大挑战。

融入开发流程把关安全性 

类似的软体供应链入侵事件层出不穷。VoIP应用开发商3CX因网站遭渗透,其提供用户下载的桌面应用程式被置换为植入后门的版本,冲击高达1,200万名使用者。身分验证管理大厂Okta也曾因支援系统遭攻击者入侵,导致上百家客户机敏资料外泄。再如MOVEit Transfer的远端执行漏洞事件,骇客利用高风险提权与SQL Injection弱点,横扫32国、逾2,000家机构。这些案例揭示出,仅凭传统检测与防护,已无法应对现代化供应链攻击的层出不穷。

面对这些风险,DevSecOps因应策略是把安全控管措施融入到整个流程,从规划、撰写程式码、测试、部署到维运阶段,每个环节都可能成为潜在攻击点。即便业界早已导入「安全左移(Shift Left)」的概念,于程式撰写阶段便强化安全意识,例如对开发者进行SQL Injection与跨站攻击(XSS)等信息安全教育,并引进源码检测(SAST)、动态扫描(DAST)等技术,仍无法完全防范前述供应链型态的渗透。

更重要的是,过往企业多倚赖防火墙、IPS与WAF等防护设备,期望于外围拦阻攻击,然而云端化与零信任架构成为现代化应用的主流,过往信息安全控管策略已不足以因应供应链攻击的渗透性与隐蔽性。因此,近年来开始有企业导入软体组成分析(SCA)工具,以即时掌握开发专案中所使用的第三方元件,判断是否存在漏洞、授权违规或维运风险。例如达友科技代理的Black Duck、零壹科技代理的Lucent Sky,抑或是老牌的Fortify(现名为OpenText)解决方案,皆可针对软体物料清单(SBOM)进行扫描,还能监控每个开源元件的更新状态与授权模式,协助企业避免使用已终止维护的套件,降低日后维运负担。

但即使导入SCA,仍难以即时防范未知型攻击手法的侵害。此状况如同防毒软体本就是仰仗特徵码资料库分析比对相同,若全球信息安全厂商皆尚未识别新型威胁,任何检测工具皆无法判别。因此,林皇兴建议,企业应将检测策略进一步拓展至Compile之后的Binary阶段,于CI/CD流程中引入「档案检疫」程序。像是达友科技代理的OPSWAT MetaDefender,便可结合多达16套防毒引擎与沙箱模拟技术,分析经编译后的可执行档是否存在潜在恶意行为。

当专案依赖NPM、PyPI等套件来源自动拉取资源时,若其中某一来源遭植入恶意程式,即可能使整体程式染毒而不自知。上述这种整合至CI/CD流程的检疫机制,可透过在测试前加上一道扫描关卡,便能提早发现问题,避免正式版软体释出后造成实质损害。 软体供应链的风险,主要来自对流程安全的忽视。演进到DevSecOps企业才能在数位化浪潮中稳固信息安全防线。

原文连结:https://www.netadmin.com.tw/netadmin/zh-tw/trend/19945AD2608442E3ABEFE39ED388D6DA#google_vignette