Τα SCA όπως γνωρίζουμε, λύνουν το πρόβλημα των ευάλωτων σημείων. Τί συμβαίνει όμως, όταν αντιμετωπίζουμε επιθέσεις στο software supply chain;
Ας ξεκινήσουμε από την αρχή: Μια βιβλιοθήκη ανοιχτού κώδικα, εξοικονομεί πολύτιμο χρόνο κωδικοποίησης και εντοπισμού σφαλμάτων, με αποτέλεσμα να μειώνεται ο χρόνος παράδοσης των εφαρμογών μας.
![Software Supply Chain](https://secnews.gr/wp-content/uploads/2024/01/Software-Supply-Chain.png)
Όταν μια εταιρεία προσθέτει μια βιβλιοθήκη ανοιχτού κώδικα, πιθανότατα δεν προσθέτει μόνο τη βιβλιοθήκη που σκόπευε, αλλά και πολλές άλλες επίσης. Αυτό οφείλεται στον τρόπο κατασκευής των βιβλιοθηκών ανοιχτού κώδικα: Όπως και κάθε άλλη εφαρμογή στον πλανήτη, ο στόχος τους είναι η γρήγορη παράδοση και ανάπτυξη. Για να το επιτύχουν αυτό, βασίζονται στον κώδικα που έχουν δημιουργήσει άλλοι – όπως π.χ. άλλες βιβλιοθήκες ανοιχτού κώδικα.
Δείτε επίσης: Veolia North America: Η εταιρεία ύδρευσης έπεσε θύμα ransomware
Οι πραγματικοί όροι μπορούν να χωριστούν σε δύο κατηγορίες: άμεση εξάρτηση και μεταβατική εξάρτηση. Η άμεση εξάρτηση αναφέρεται σε ένα πακέτο που προσθέτετε απευθείας στην εφαρμογή σας, ενώ η μεταβατική εξάρτηση αναφέρεται σε ένα πακέτο που προστίθεται σιωπηρά από τις εξαρτήσεις της εφαρμογής σας. Για παράδειγμα, αν η εφαρμογή σας χρησιμοποιεί το πακέτο Α, και το πακέτο Α χρησιμοποιεί το πακέτο Β, τότε η εφαρμογή σας εξαρτάται έμμεσα από το πακέτο Β.
Και αν το πακέτο Β είναι ευάλωτο, τότε το έργο σας είναι επίσης ευάλωτο. Αυτό το πρόβλημα έχει δημιουργήσει την ανάγκη για SCA – Πλατφόρμες Ανάλυσης Σύνθεσης Λογισμικού – οι οποίες μπορούν να βοηθήσουν στον εντοπισμό των ευάλωτων σημείων και στην προσφορά διορθώσεων.
Επιθέσεις VS. Ευπάθειες
Ο όρος άγνωστος κίνδυνος (unknown risk) μπορεί να μην είναι πάντα κατανοητός. Ένας άγνωστος κίνδυνος (unknown risk) λοιπόν, αποτελεί σχεδόν από μόνος του μια απειλή για το supply chain (αλυσίδα εφοδιασμού), η οποία δεν είναι εύκολα ανιχνεύσιμη από την πλατφόρμα SCA σας.
Ας εξετάσουμε τη διαφορά μεταξύ ευπαθειών και επιθέσεων:
Ευπάθεια:
- Ένα ακούσιο λάθος (εκτός από πολύ συγκεκριμένες περίπλοκες επιθέσεις)
- Αναγνωρίζεται από ένα CVE
- Καταγράφεται σε δημόσιες βάσεις δεδομένων
- Δυνατότητα άμυνας πριν από την εκμετάλλευση
- Περιλαμβάνει τόσο τις συνηθισμένες ευπάθειες (vulns) όσο και τις ευπάθειες που ακόμα δεν έχουν ανακαλυφθεί (zero-day)
Παράδειγμα: Το Log4Shell είναι μια ευπάθεια
Διαβάστε περισσότερα: Τέλος στις επιθέσεις Ransomware μέσω Zero-Day ευπαθειών;
![Software Supply Chain](https://secnews.gr/wp-content/uploads/2024/01/Software-Supply-Chain-1.png)
Supply chain επίθεση:
- Σκόπιμη κακόβουλη δραστηριότητα
- Δεν διαθέτει συγκεκριμένη αναγνώριση CVE
- Χωρίς παρακολούθηση από τυπικές SCA και δημόσιες βάσεις δεδομένων (DB)
- Συνήθως επιχειρείται ήδη εκμετάλλευση ή ενεργοποίηση από προεπιλογή.
Παράδειγμα: Η SolarWinds είναι Supply chain επίθεση
Πηγή: thehackernews.com