Prisma by Palo Alto Networks 提供的软件供应链安全性检查清单,旨在通过 7 条战术规则保护软件供应链安全。核心观点在于,随着软件供应链的复杂化,必须确保各个组件和基础交付管道的安全。
-
扫描基础架构即代码 (IaC) 中的错误配置
IaC 模板(如 Terraform、CloudFormation)可能存在默认不安全配置和敏感数据泄露风险。推荐措施包括:通过开发者工具或 CI/CD 管道实施 IaC 扫描,嵌入 VCS 和 CI/CD 策略,以及验证用户触发部署。
-
扫描开源软件包中的已知漏洞
现代应用 98% 的组件为开源软件,其中多数存在已知漏洞(如 CVE)。推荐措施包括:扫描本地和托管代码库,持续更新 CVE 信息,并按风险评分(CVSS)确定修补优先级。
-
扫描容器映像中的漏洞和错误配置
容器可能存在易受攻击的开源包、不安全配置(如默认用户)或恶意代码注入风险。推荐措施包括:全生命周期扫描映像(本地、CI/CD、注册表、运行时),沙箱测试未知来源映像,以及仅允许可信来源映像。
-
遵循 VCS 安全性最佳实践
VCS 配置不当可能被攻击者利用。推荐措施包括:启用 2FA 和 SSO,定义 IP 白名单,使用分支机构保护规则,以及禁止无人工审查的代码提交。
-
确保安全配置 CI/CD 管道
恶意攻击者可能篡改 CI/CD 工作流程文件,导致凭据泄露或代码篡改。推荐措施包括:扫描工作流程文件阻止注入攻击,限制敏感环境访问,以及划分测试和部署的职责权限。
-
避免机密泄露和未经授权的访问
机密(如登录凭据)可能意外泄露。推荐措施包括:使用专门存储库(如 HashiCorp、AWS 参数库)存储凭据,定期轮换密钥,启用日志记录,以及使用 OpenID Connect 等身份验证方案。
-
利用端到端可视性了解风险
可视化供应链组件的连接和交互方式有助于威胁建模和快速响应。推荐措施包括:使用 SBOM 映射所有组件,确保代码到云的可视性,以及快速修补漏洞和锁定虚拟机。
研究结论
软件供应链安全需要全生命周期防护,通过扫描、配置优化、可视化和安全平台(如 Prisma Cloud)实现端到端保护。关键数据包括现代应用 98% 的开源组件存在漏洞,而 Prisma Cloud 可提供云原生安全性和合规性覆盖,助力 DevOps 团队敏捷协作并加速云原生应用部署。
