近年來應用程式安全議題因一連串重大的資安事件而備受關注。從第三方元件遭入侵,到開源套件遭植入惡意程式的案例頻傳,顯示出企業軟體供應鏈正面臨前所未有的挑戰。在當今軟體開發節奏日益加快、攻擊技術持續演進的環境下,如何在不犧牲速度與創新前提下強化軟體安全,成為企業面臨的重要課題。
對此,DevSecOps議題開始受到企業關注,因應現代化應用程式安全的挑戰,融合了開發(Development)、資安(Security)與維運(Operations)三大職能,透過文化轉型與流程自動化,將資安控制措施內嵌於軟體開發生命週期(SDLC)的每一個階段,從源頭確保軟體安全,並提升整體交付品質。
從幾起值得高度關注的軟體供應鏈攻擊事件來看,達友科技副總林皇興指出,首先是2024年10月,發生於NPM套件庫的供應鏈攻擊震撼了眾多開發者。事件主角是名為Lottie Player的JavaScript動畫元件,此元件廣泛應用於網站前端介面,每週平均有8.4萬次下載紀錄。駭客趁隙植入三個惡意版本,意圖竊取使用者的數位加密錢包資訊。攻擊方式是透過竊取開發團隊其中一名成員的API憑證,利用此Token進行套件版本更新,進而散播含有惡意程式碼的版本。此事件凸顯出,就算套件來自知名來源,若存取權限未妥善保護,也將成為駭客的入侵管道。更令人警惕的是,即便平台如GitHub已強制啟用多因子認證,但一旦憑證落入惡意人士之手,仍無法完全阻止更新流程被滲透。
偽冒開源套件滲透手法
類似的供應鏈風險也發生於Python的PyPI套件生態中。一種名為Revival Hijack的攻擊技術,就是鎖定那些已被原作者棄用的套件名稱,駭客偽裝成新的維護者重新註冊該套件,釋出內含惡意程式的新版本。若企業CI/CD流程中設定為自動更新套件版本,便極有可能在未察覺的情況下,將惡意程式編入正式產品。林皇興認為,值得留意的是由於PyPI平台每月有數百甚至上千個專案被下架,估計至少有2.2萬個專案可能因此手法遭受攻擊,而目前PyPI尚無法有效阻止此類偽冒套件的行為。
另一令人震驚的案例則發生於今年(2025)3月,駭客成功入侵GitHub Actions的知名流程模組「tj-actions/changed-files」,並植入惡意Python Script。這段程式碼會在CI/CD流程中偷偷搜尋記憶體中的API金鑰、Token及使用者憑證,並以Base64方式寫入workflow log。駭客只需存取記錄檔,便能獲取這些高敏感性資料。此事件說明,即便CI/CD能帶來開發效率的大幅提升,若缺乏妥善監控與驗證機制,也可能淪為資料外洩的幫兇。
此外,還有駭客將惡意程式碼植入合法的jQuery元件,並上傳至NPM平台,引導使用者誤信其為官方維護套件。某些網站在更新後便出現模擬Microsoft 365登入畫面,用以竊取帳密資訊,讓受害網站淪為釣魚工具。這種「以合法包裹惡意」的手法,對資安防禦形成極大挑戰。
融入開發流程把關安全性
類似的軟體供應鏈入侵事件層出不窮。VoIP應用開發商3CX因網站遭滲透,其提供用戶下載的桌面應用程式被置換為植入後門的版本,衝擊高達1,200萬名使用者。身分驗證管理大廠Okta也曾因支援系統遭攻擊者入侵,導致上百家客戶機敏資料外洩。再如MOVEit Transfer的遠端執行漏洞事件,駭客利用高風險提權與SQL Injection弱點,橫掃32國、逾2,000家機構。這些案例揭示出,僅憑傳統檢測與防護,已無法應對現代化供應鏈攻擊的層出不窮。
面對這些風險,DevSecOps因應策略是把安全控管措施融入到整個流程,從規劃、撰寫程式碼、測試、部署到維運階段,每個環節都可能成為潛在攻擊點。即便業界早已導入「安全左移(Shift Left)」的概念,於程式撰寫階段便強化安全意識,例如對開發者進行SQL Injection與跨站攻擊(XSS)等資安教育,並引進源碼檢測(SAST)、動態掃描(DAST)等技術,仍無法完全防範前述供應鏈型態的滲透。
更重要的是,過往企業多倚賴防火牆、IPS與WAF等防護設備,期望於外圍攔阻攻擊,然而雲端化與零信任架構成為現代化應用的主流,過往資安控管策略已不足以因應供應鏈攻擊的滲透性與隱蔽性。因此,近年來開始有企業導入軟體組成分析(SCA)工具,以即時掌握開發專案中所使用的第三方元件,判斷是否存在漏洞、授權違規或維運風險。例如達友科技代理的Black Duck、零壹科技代理的Lucent Sky,抑或是老牌的Fortify(現名為OpenText)解決方案,皆可針對軟體物料清單(SBOM)進行掃描,還能監控每個開源元件的更新狀態與授權模式,協助企業避免使用已終止維護的套件,降低日後維運負擔。
但即使導入SCA,仍難以即時防範未知型攻擊手法的侵害。此狀況如同防毒軟體本就是仰仗特徵碼資料庫分析比對相同,若全球資安廠商皆尚未識別新型威脅,任何檢測工具皆無法判別。因此,林皇興建議,企業應將檢測策略進一步拓展至Compile之後的Binary階段,於CI/CD流程中引入「檔案檢疫」程序。像是達友科技代理的OPSWAT MetaDefender,便可結合多達16套防毒引擎與沙箱模擬技術,分析經編譯後的可執行檔是否存在潛在惡意行為。
當專案依賴NPM、PyPI等套件來源自動拉取資源時,若其中某一來源遭植入惡意程式,即可能使整體程式染毒而不自知。上述這種整合至CI/CD流程的檢疫機制,可透過在測試前加上一道掃描關卡,便能提早發現問題,避免正式版軟體釋出後造成實質損害。 軟體供應鏈的風險,主要來自對流程安全的忽視。演進到DevSecOps企業才能在數位化浪潮中穩固資安防線。。