供應鏈
該標籤下有 5 篇文章
MOVEit 大規模資料外洩(2023)—— SQL 注入零時差漏洞波及 2,700 多家組織的原因與防禦
入口是面向網際網路公開的檔案傳輸產品 MOVEit Transfer 的 SQL 注入零時差漏洞(CVE-2023-34362)。攻擊者植入 Web shell(LEMURLOOT),從後端資料庫批量竊取資料,致 2,700 多家組織、約 9,330 萬人的資料外洩。許多受害者是因為委外廠商、合作方使用了 MOVEit 而被間接牽連。在你的環境中,可透過 KEV 即時修補、最小化暴露面、Web↔DB 的最小權限與隔離、委外廠商盤點與資料最小化來防範。
osv-scanner 的安裝與使用:用機器找出相依套件裡的 CVE
osv-scanner 是一款免費工具,掃描鎖定檔或容器以排查相依套件中的 CVE。本文把安裝、執行、CI 整合做成步驟,並理清它與 npm/pnpm audit、Dependabot 的取捨。本站的觀點=選工具的正確答案由『你的架構』決定。多語言混用或不依賴 GitHub 就用 osv-scanner,單一 npm 用內建的 pnpm audit 就夠了。
自建 Git 伺服器和 GitHub,從安全角度看哪個更安全
自建 Git 不是『變安全』,而是『轉移風險』。誤公開這一類事故確實會消失,但伺服器修補、備份、提交前金鑰偵測的責任會轉移到你身上。滿足條件就是好選擇,放任不管則比 GitHub 更危險。本站視角=自建維運必須連同代價一起,否則無法成立。
Codecov 竄改事件(2021)——CI 中『被信任的工具』被劫持導致機密資訊外洩的原因與防禦
根源在於『在 CI 中信任並執行的工具(curl|bash 的 Bash Uploader)在上游被竄改』。由於自己的程式碼毫髮無損,約兩個月都沒能察覺,CI 的機密資訊因此外洩。偵測靠的是總和檢查碼比對。在你的 CI 中,可用取得物的完整性檢核、機密的最小權限、輪替、egress 監控來防止重演。
XZ Utils 後門(CVE-2024-3094)——『信任本身』被瞄準的供應鏈事件
壓縮函式庫 xz 中被一名贏得信任的維護者植入了後門的供應鏈攻擊。在即將進入穩定版的前一刻,一名技術人員憑『慢』這一違和感把它攔下。被瞄準的不是程式碼,而是『人與信任』。教訓是:把相依套件最小化、固定版本、提高可重現性、追蹤違和感、支援維護者。