應(yīng)用安全的工作有時(shí)候感覺(jué)就像在“和以往一樣的工作”與“該死的一天來(lái)了”之間反復(fù)橫跳,。而當(dāng)數(shù)字化轉(zhuǎn)型在每個(gè)部門(mén)都在加速進(jìn)行,，遠(yuǎn)遠(yuǎn)超過(guò)安全控制的節(jié)奏的時(shí)候，平衡就更加困難了,。

　　打斷這個(gè)加速化進(jìn)程的問(wèn)題點(diǎn)基本都發(fā)生在網(wǎng)站開(kāi)發(fā)和安全環(huán)境,。二十年前,，一個(gè)“典型”的網(wǎng)站都是為了發(fā)布信息的靜態(tài)頁(yè)面。而現(xiàn)在,，則是由一個(gè)動(dòng)態(tài)的網(wǎng)站應(yīng)用處理極其敏感的數(shù)據(jù),，并執(zhí)行關(guān)鍵操作。

　　敏感信息持續(xù)通過(guò)幾乎每個(gè)網(wǎng)站,，從而讓攻擊者有了竊取并販賣(mài)這些私人信息的完美機(jī)會(huì),。事實(shí)上，這樣的攻擊已經(jīng)相當(dāng)成功了,，而被泄漏數(shù)量的增長(zhǎng)速度也在持續(xù)攀升,。最近的數(shù)據(jù)顯示，2020年第一季度泄露的記錄相比2019年第一季度高出了273%,。

　　現(xiàn)在,，那些在應(yīng)用安全工作的人已經(jīng)知道傳統(tǒng)安全系統(tǒng)（比如像WAF這種服務(wù)器端和網(wǎng)絡(luò)安全的產(chǎn)品）無(wú)法防范針對(duì)網(wǎng)站的數(shù)據(jù)流出攻擊。攻擊者會(huì)利用客戶(hù)端側(cè)的安全盲點(diǎn),，將惡意代碼注入公司的網(wǎng)站,，而不需要先成功攻擊他們的第一方服務(wù)器，這就引出“定時(shí)炸彈”——網(wǎng)站供應(yīng)鏈,。

　　代碼相關(guān)性的收益和風(fēng)險(xiǎn)

　　現(xiàn)在典型的JavaScript開(kāi)發(fā)流程總是依賴(lài)于開(kāi)源組件,，來(lái)加速發(fā)展,。這意味著公司在他們的網(wǎng)站上會(huì)使用幾百個(gè)外部源代碼。這個(gè)情況下,，公司對(duì)代碼幾乎完全沒(méi)有管控能力,，最終絕大部分會(huì)選擇信任他們使用的代碼模組可靠且安全。但問(wèn)題是,，這些模組可能也會(huì)依賴(lài)于第三方代碼,，導(dǎo)致代碼相關(guān)性變得更為復(fù)雜。

　　代碼的相關(guān)性越多,，攻擊面也就越大,，也就使得攻擊者更有機(jī)會(huì)控制相關(guān)性中的一部分，并對(duì)網(wǎng)站頁(yè)面進(jìn)行惡意代碼注入,。

　　如果這個(gè)網(wǎng)站供應(yīng)鏈攻擊看上去簡(jiǎn)直在復(fù)現(xiàn)SolarWinds事件,，那是因?yàn)镾olarWinds本身就是一個(gè)展示供應(yīng)鏈攻擊如何能達(dá)成爆炸效果的完美例子。

　　最近,，攻擊者在PHP Git的官方代碼庫(kù)里植入了遠(yuǎn)程執(zhí)行后門(mén),。不過(guò)，這個(gè)惡意代碼在本地代碼檢查中被發(fā)現(xiàn),，因此它沒(méi)有進(jìn)入官方的更新包中,。然而，它顯現(xiàn)出網(wǎng)站供應(yīng)鏈當(dāng)中的另一個(gè)安全缺陷：如果惡意代碼被隱藏得更好,，它們能否進(jìn)入公開(kāi)發(fā)布的更新包中,？這種事情以前就發(fā)生過(guò)，比如Copay事件中,，惡意代碼影響了數(shù)個(gè)版本的產(chǎn)品（加密貨幣錢(qián)包），并且竊取了用戶(hù)數(shù)據(jù),。

　　另一個(gè)事件能讓我們意識(shí)到,，事件更加糟糕。安全研究人員Alex Birsan通過(guò)利用相關(guān)性混淆的設(shè)計(jì)漏洞,，成功攻擊了35個(gè)科技公司,，包括微軟、蘋(píng)果,、PayPal等,。盡管說(shuō)Alex的行為只是出于道德安全研究的目的，但是攻擊者們很快復(fù)制了這個(gè)攻擊方式,，并試圖攻擊其他還沒(méi)開(kāi)始防御的公司,。

　　這些例子不過(guò)是冰山的上層。網(wǎng)站供應(yīng)鏈廣而且深,，平均每個(gè)網(wǎng)站應(yīng)用包含超過(guò)1,000個(gè)外部源代碼組件,。而且,，最近的研究顯示，安裝其中的一個(gè)代碼包意味著間接信任79個(gè)第三方代碼包和39個(gè)維護(hù)人員——我們可以猜測(cè)一下現(xiàn)代網(wǎng)站應(yīng)用的攻擊面到底有多大,。

　　減少潛在危險(xiǎn)

　　那么,，有那么多不確定的組件，同時(shí)越來(lái)越多的人認(rèn)為網(wǎng)站供應(yīng)鏈會(huì)是一個(gè)必然發(fā)生的災(zāi)難,，能做些什么,？

　　這個(gè)問(wèn)題的答案可能是使用深度防御，在服務(wù)器端和網(wǎng)絡(luò)安全管控之上,，進(jìn)一步部署更好的供應(yīng)商管理能力,，并加上一層客戶(hù)端防御。用新的協(xié)議審查和管理第三方供應(yīng)商在越來(lái)越重要,，盡管說(shuō)審查數(shù)百個(gè)第三方部件相當(dāng)困難,。另外，審查只能給出某個(gè)時(shí)間點(diǎn)上的代碼狀況,，卻無(wú)法識(shí)別突然被感染的原正常代碼,。因此，需要在客戶(hù)端運(yùn)行時(shí)額外加一層安全管控,，檢測(cè)和控制可疑的代碼行為,。在這個(gè)等級(jí)實(shí)現(xiàn)管控，能產(chǎn)生消耗的是數(shù)月,，還是是實(shí)時(shí),，發(fā)現(xiàn)并解決因網(wǎng)站供應(yīng)鏈產(chǎn)生的數(shù)據(jù)泄露。

　　這些都是組織能夠采取的減少網(wǎng)站供應(yīng)鏈暴露的措施,。至少,，希望組織和機(jī)構(gòu)別到最后一秒才開(kāi)始進(jìn)行這些操作。