背景概述
2022 年 12 月 21 日,Web3 基础设施提供商 Ankr 发布事后报告,公布因 aBNBc 代币漏洞导致 500 万美金加密货币被黑的调查结果。Ankr 前团队成员恶意地进行了供应链攻击,插入恶意代码包,只要项目方进行合法更新,该代码包就能够破坏 Ankr 的私钥。Ankr 正在与执法部门合作,起诉这名前团队成员并将黑客绳之以法。
随着 Web3 行业的不断发展,近些年供应链安全形势日益成为 Web3 行业以及全球关注的焦点。而现代软件开发依赖于各种第三方组件和外部服务,软件供应链已经变得更加复杂和庞大,这也为恶意攻击者提供了更多的机会来操纵和渗透软件供应链,从而对企业和用户的数据、资产造成巨大威胁。
最近几年的事件表明,供应链安全漏洞可能导致严重的后果。恶意软件和恶意代码可以在软件供应链的不同环节中植入,包括开发工具、第三方库、云服务和更新过程。一旦这些恶意元素被成功注入,攻击者可以利用它们来窃取加密货币资产和用户敏感信息、破坏系统功能、勒索企业或大规模传播恶意软件。
鉴于以上原因,慢雾安全团队将从源码安全,构建安全,传输安全,制品安全和部署安全这 5 个关键环节的供应链安全提出安全建议。这 5 个环节都需要围绕输入/产出可验证,操作过程可自动化,在受控环境授权下进行,操作人员/系统都要经过安全认证这几个纬度进行增强。
使用 GitHub 或者 GitLab 等代码版本管理方案,不仅可以方便高效的对项目的代码进行管理,还可以在发现代码后门等场景下快速定位提交代码的角色。
代码的提交要保证完整性,确保经过安全检测后的代码被完整地提交,并且避免提交的过程中被植入其他非预期的代码(存在漏洞的代码或后门代码)可以使用 GitHub 的 signing commits [1] 功能或 GitLab 类似的功能 gpg signed commits [2] 来保证提交的代码的完整性,并且在合并代码的时候需要可信的角色账号用 git merge -S --verify-signatures 验证签名 [3] [4]。
管理代码的同时也需要对代码的安全进行扫描,可以使用:SonarQube [5] 或 Snyk Code [6] 对代码进行静态扫描 [7],切记提交的代码中不能包含有认证、隐私、私钥等文件,敏感的 API 或者认证的 Keys 等等,开发者可以使用 TruffleHog [8] 或 GitHub 的 secret-scanning [9] 工具对提交的数据进行安全扫描,来发现提交的代码中的敏感信息(如:助记词或私钥信息)。
执行 CI/CD [10] 可以帮助研发团队实现自动化构建,测试,部署的流程,避免在集成和交付项目的过程有太多的手动操作,因为我们很难约束所有人都严格按照流程和标准实施操作。通过 CI/CD, 可以更好地按照流程推进构建,测试,部署的操作,也有助于收敛服务器等相关 IT 资产的访问权限。CI/CD 可以使用 CircleCi [11] 和 GitHub Actions [12] 等方案实现 [13]。
物料安全的通俗解释即需要对接入的第三方服务,组件和依赖库进行初步的安全评估,确保第三方风险管理可控,评估工作应尽可能包含:
提供方是否可靠。一般认为大厂出品的组件较为可靠,但是也有某些大厂提供的组件经常被披露安全漏洞,所以也需要根据组件/服务历史上出现漏洞的频率进行评估;
源码是否开源。未开源的依赖库可能会引入后门,所以应优先选择知名,开源的库;
制品是否可验证。使用第三方提供的程序时,要经过 checksums 的验证;
对接方案是否完备。使用第三方服务,组件,依赖库时要有完备的对接方案,确保在接入的时候尽可能地列出所有潜在的安全风险,并输出安全性需求分析(列风险,出需求,这部分需要充分考虑第三方服务,组件,依赖库出现异常或者被攻破后对项目的影响)。
要对物料安全进行监测,确保第三方服务,组件,依赖库的风险可控可以从管理手段,技术手段,威胁情报 3 个方面展开工作:
管理手段:可以借鉴 OWASP 的 SCVS [14] 标准实施相应的基线和流程;
技术手段:安全人员可以使用 Dependency Track [15],Snyk [16],Murphysec [17] 等产品对物料进行监测,研发人员可以在研发的过程中将类似 Dependency Check,Snyk 的 open source security management [18] 等工具集成到开发的工具或流程中,协助研发人员发现第三方依赖版本上的安全问题;
威胁情报:可以通过 security.snyk.io,Vuldb 的漏洞情报第一时间对受到影响的项目进行升级或修复处理。
大部分研发团队采用手动对项目的程序或 Docker 镜像进行构建,构建完成后再手动推送到制品仓库或生产服务器上,在这过程中存在许多的安全风险:
在研发人员本地电脑进行程序或 Docker 镜像的构建,这种情况下很难保证本地的物料是安全的;
人为进行程序或 Docker 镜像的构建,这种情况下很难保证构建人员不会引入非预期的代码;
人为进行程序或 Docker 镜像的构建,就算有严格的安全流程,也很难保证构建人员会 100% 遵循安全流程;
构建人员的本地环境很容易脱离安全管理的控制。
而通过在服务上部署自动化构建平台,可以很好的对构建流程进行安全管理,并且构建流程是由平台控制的,只要制定好构建的流程和规则,管理人员控制好平台的访问权限,就能确保每次的构建流程都符合预期。
在编译构建项目的应用程序或 Docker 镜像的时候,一般是采用 Jenkins 平台进行自动化构建。使用 Jenkins 等自动化构建平台时,需要严格按照官方的安全建议 [19] 进行配置,并且这类研发和运维的平台除了要做好平台账号的访问权限控制,还可以通过 SSO 或 MFA [20] 加强登录验证,在网络层面上对访问进行限制,可以限制仅使用公司的 VPN 才能访问。
通过部署自动化构建平台,使得程序或 Docker 镜像均由平台按照管理人员制定的流程和规则自动完成构建,减少人为操作可能不遵守流程和规则的情况,并避免了人为构建可能引入非预期代码的风险。同时自动化构建平台还可以与代码管理和代码扫描联动,如:使用 jenkins-pipeline-with-sonarqube-and-gitlab 的方案 [21],从代码提交,代码扫描,构建部署实施自动化操作和管理。
在整个代码管理,自动化构建的过程中遵循最小化权限控制和最小化网络访问,尽可能按照工作或岗位职责给每个人员角色分配最小化的权限,使用 IP 白名单和 VPN 的方式对网络访问进行限制,并且在构建后使用认证和通讯加密的方式将制品传输到制品仓库 [22] [23] 中进行管理。
制品即需要发布的稳定版本程序。构建时会将哈希和签名信息放在程序的摘要里,每当使用到制品的时候,需要验证制品的签名或哈希摘要信息。可以使用 Cosign 或 Notary 对制品进行签名和验签,通常还需要使用制品管理平台(如:Nexus Repository Manager [24] 和 Harbor [25])进行制品的管理,同样也需要遵循遵循最小化权限控制和最小化网络访问,可以使用 Nexus Repository Manager SSO 方案 [26] 和 Harbor SSO 方案 [27] 结合 MFA 以及 VPN 的方式控制登录和访问权限。
部署分为首次部署和更新部署,首次部署之前要确保部署项目的服务器进行了基础安全加固:
确保服务器是新开启和初始化的,如果是云服务器,那么云平台的账号要做好权限划分,并强制要求开启 MFA;
确保服务器仅开启必要的端口,并且 SSH 开启 IP 白名单和 MFA 的限制;
确保服务器安装了 HIDS 或 XDR;
确保服务器开启了日志记录,可以使用 CrowdStrike Falcon LogScale [28] 或 Splunk [29] 对日志进行收集;
开启域名隐私保护,注册后添加 CDN 并绑定 IP,避免真实 IP 泄露。
项目部署最好采用自动化部署的方式(如:Jenkins 自动化部署 [30]),避免由于手动部署导致服务器的登录权限出现管理紊乱的情况。
更新部署包含服务端程序和客户端程序的更新,如何规范化更新操作可以参考theupdateframework [31] 的方案。
在 Web3 的发展过程中,供应链安全问题尤为重要。尽管 Web3 的去中心化特性带来了许多优势,但也带来了新的供应链安全挑战。慢雾安全团队希望通过发布《Web3 行业供应链安全指南》为 Web3 行业的项目方提供安全建议,共同促进 Web3 行业健康、安全、稳定地发展。
参考链接:
[1] https://docs.github.com/en/authentication/managing-commit-signature-verification/signing-commits
[2] https://docs.gitlab.com/ee/user/project/repository/gpg_signed_commits/
[3] https://docs.github.com/en/authentication/managing-commit-signature-verification/telling-git-about-your-signing-key
[4] https://www.chainguard.dev/unchained/keyless-git-commit-signing-with-gitsign-and-github-actions
[5] https://www.sonarsource.com/products/sonarqube/
[6] https://snyk.io/product/snyk-code/
[7] https://owasp.org/www-community/Source_Code_Analysis_Tools
[8] https://github.com/trufflesecurity/trufflehog
[9] https://docs.github.com/en/code-security/secret-scanning/secret-scanning-partner-program
[10] https://resources.github.com/ci-cd/
[11] https://circleci.com/
[12] https://docs.github.com/en/actions
[13] https://about.gitlab.com/blog/2021/08/30/secure-pipeline-with-single-sign-in/
[14] https://github.com/OWASP/Software-Component-Verification-Standard
[15] https://dependencytrack.org/
[16] https://snyk.io/solutions/software-supply-chain-security/
[17] https://github.com/murphysecurity/murphysec
[18] https://snyk.io/product/open-source-security-management/
[19] https://www.jenkins.io/doc/book/security/
[20] https://plugins.jenkins.io/miniorange-saml-sp/
[21] https://gcore.com/learning/jenkins-pipeline-with-sonarqube-and-gitlab/
[22] https://gcore.com/learning/publishing-artifacts-to-nexus-using-jenkins-pipelines/
[23] https://www.kubesphere.io/docs/v3.3/devops-user-guide/how-to-integrate/harbor/
[24] https://www.sonatype.com/products/sonatype-nexus-repository
[25] https://goharbor.io/docs/2.7.0/working-with-projects/working-with-images/sign-images/
[26] https://help.sonatype.com/repomanager3/nexus-repository-administration/user-authentication/saml
[27] https://goharbor.io/docs/1.10/administration/configure-authentication/oidc-auth/
[28] https://www.crowdstrike.com/guides/linux-logging/
[29] https://www.splunk.com/en_us/home-page.html
[30] https://www.jenkins.io/doc/pipeline/tour/deployment/
[31] https://theupdateframework.io/security/#attacks-and-weaknesses
往期回顾
慢雾导航
慢雾科技官网
https://www.slowmist.com/
慢雾区官网
https://slowmist.io/
慢雾 GitHub
https://github.com/slowmist
Telegram
https://t.me/slowmistteam
https://twitter.com/@slowmist_team
Medium
https://medium.com/@slowmist
知识星球
https://t.zsxq.com/Q3zNvvF