Безопасность supply chain: противостоим опасным зависимостям

У цепочки поставок (supply chain) большая площадь для атак. К тому же подобные атаки часто обходят традиционные меры безопасности, что затрудняет их обнаружение и предотвращение.

Разберем, что в ответ на эту проблему предлагают нам мировые стандарты SLSA, OWASP SCVS, CIS SSCSG и попытаемся сузить тему до цепочки поставок сторонних зависимостей. Почему в этот раз ограничим себя этой темой? Если злоумышленник нацеливается на цепочку поставок, он пойдет по пути наименьшего сопротивления, а open source-компоненты — самое слабое звено в этой системе.

Разберем методы и тактики, которые используют злоумышленники для манипуляций с зависимостями, проанализируем репозитории некоторых компонентов, определим их состояние и оценим степень риска компрометации системы через эти зависимости.