Go 如何應(yīng)對供應(yīng)鏈攻擊?
Go 官方博客介紹了他們應(yīng)對供應(yīng)鏈攻擊的緩解措施。據(jù)稱,Go 的工具鏈和設(shè)計(jì)在各個(gè)階段均包含降低攻擊風(fēng)險(xiǎn)的考慮。
所有構(gòu)建都被“鎖定 (locked)”
外部變化(例如發(fā)布依賴項(xiàng)的新版本)不會(huì)影響 Go 構(gòu)建。
與其他大多數(shù)軟件包管理器所使用的配置文件不同,Go modules 沒有單獨(dú)的約束列表和用于鎖定特定版本的 lock 文件。參與 Go 構(gòu)建的每個(gè)依賴項(xiàng)的版本完全由主模塊的go.mod文件決定。
從 Go 1.16 開始,上述操作默認(rèn)執(zhí)行,如果go.mod不完整,構(gòu)建命令將失敗。唯一會(huì)改變go.mod的命令是 go get和 go mod tidy。這些命令通常不會(huì)自動(dòng)運(yùn)行或在 CI 中運(yùn)行,因此這種對依賴關(guān)系樹的改變通常都是刻意為之,可在代碼審查階段被發(fā)現(xiàn)。
這對于安全性非常重要,如果一個(gè)模塊被入侵并發(fā)布了一個(gè)新的惡意版本,那么在明確更新該依賴項(xiàng)之前,任何人都不會(huì)受到影響,從而為生態(tài)提供了審查更改和檢測事件的時(shí)間。
版本內(nèi)容永不改變
確保第三方不會(huì)影響構(gòu)建的另一個(gè)關(guān)鍵屬性是,module 版本的內(nèi)容不可改變。因?yàn)槿绻茐囊蕾図?xiàng)的攻擊者可以重新上傳現(xiàn)有版本,他們就可以自動(dòng)破壞所有依賴該依賴項(xiàng)的項(xiàng)目。
這正是go.sum文件的用途。它包含有助于構(gòu)建的每個(gè)依賴項(xiàng)的加密哈希列表。同樣,不完整的go.sum會(huì)導(dǎo)致錯(cuò)誤,并且只能使用go get和go mod tidy對它進(jìn)行修改。因此,對它的任何修改都會(huì)伴隨著主觀的依賴關(guān)系改變。
VCS 是事實(shí)來源
大多數(shù)項(xiàng)目在開發(fā)過程中都會(huì)使用版本控制系統(tǒng) (VCS),在其他生態(tài)中,這些項(xiàng)目還需要上傳到中心軟件包倉庫 (比如 npm)。這意味著有兩個(gè)帳戶可能會(huì)受到破壞,即 VCS 主機(jī)和中心軟件包倉庫。后者使用得更少,也更容易被忽視。這也意味著更容易在上傳到倉庫的版本中隱藏惡意代碼,特別是如果源碼作為上傳的一部分被例行修改。
Go 沒有諸如中心軟件包倉庫帳戶這類東西。包的導(dǎo)入路徑嵌入了直接從 VCSgo mod download 獲取其模塊所需的信息,其中 VSC 上的標(biāo)簽定義了 module 版本。
僅構(gòu)建代碼,但不執(zhí)行
Go 工具鏈有一個(gè)明確的安全設(shè)計(jì)目標(biāo):無論是獲取還是構(gòu)建代碼,都不會(huì)讓該代碼執(zhí)行,無論代碼是否不受信任或者惡意。
這是一種有意義的風(fēng)險(xiǎn)緩解措施,假如你正在執(zhí)行一個(gè)二進(jìn)制文件或測試一個(gè)只使用一個(gè)子集的包模塊的依賴。例如,如果example.com/cmd/devtoolx在 macOS 上構(gòu)建和執(zhí)行,那么針對 Windows 的依賴或example.com/cmd/othertool的依賴就不可能危害到你的機(jī)器。
在 Go 中,不為特定構(gòu)建提供代碼的 module 對于構(gòu)建沒有安全影響。
“復(fù)制勝于依賴”
最后一項(xiàng)(也可能是最重要)供應(yīng)鏈攻擊風(fēng)險(xiǎn)緩解措施也是技術(shù)含量最低的:Go 有拒絕大型依賴樹的文化,并且更喜歡復(fù)制而不是添加新的依賴。
這可以追溯到 Go 的一句諺語:“a little copying is better than a little dependency”(復(fù)制勝于依賴)。
Go module 對自己的“零依賴”標(biāo)簽非常自豪。如果開發(fā)者需要使用一個(gè)庫,他會(huì)發(fā)現(xiàn)這個(gè)庫不會(huì)讓他依賴其他作者和所有者的幾十個(gè) module。
這意味著只需少量依賴項(xiàng)就可以構(gòu)建豐富、復(fù)雜的應(yīng)用程序。畢竟無論工具多好,它都無法消除重用代碼所涉及的風(fēng)險(xiǎn),因此最強(qiáng)的緩解措施始終是只有一個(gè)小的依賴樹。
本文轉(zhuǎn)自O(shè)SCHINA
本文標(biāo)題:Go 如何應(yīng)對供應(yīng)鏈攻擊?
本文地址:https://www.oschina.net/news/189878/golang-supply-chain
