تکناو
TEKNAV

تکناو

حمله زنجیره تأمین چیست؟

حمله زنجیره تأمین به‌جای هدف اصلی، یکی از اجزای مورد اعتماد او را آلوده می‌کند: کتابخانه متن‌باز، ابزار توسعه، به‌روزرسانی نرم‌افزار یا پیمانکار. وقتی هزا…

پاسخ کوتاه: حمله زنجیره تأمین به‌جای هدف اصلی، یکی از اجزای مورد اعتماد او را آلوده می‌کند: کتابخانه متن‌باز، ابزار توسعه، به‌روزرسانی نرم‌افزار یا پیمانکار. وقتی هزاران پروژه به یک بسته کوچک وابسته‌اند، تسخیر همان بسته یعنی دسترسی به همه آن‌ها — پرونده‌هایی مانند SolarWinds و xz-utils ابعاد فاجعه را نشان دادند. دفاع، به فهرست مواد نرم‌افزاری (SBOM)، امضای بسته‌ها و بررسی وابستگی‌ها گره خورده است.

معادل انگلیسی: Supply Chain Attack

پرسش‌های پرتکرار درباره حمله زنجیره تأمین

چرا حملات زنجیره تأمین خطرناک‌ترند؟

چون از مسیر «اعتماد» وارد می‌شوند: قربانی خودش نرم‌افزار آلوده را با میل نصب می‌کند و ابزارهای امنیتی نیز به اجزای امضاشده و رسمی کمتر مشکوک می‌شوند؛ دامنه آسیب هم یک‌باره هزاران سازمان است.

SBOM چیست؟

فهرست مواد نرم‌افزاری: سیاهه دقیق همه اجزا و وابستگی‌های یک محصول. با آن می‌توان هنگام کشف آسیب‌پذیری در یک کتابخانه، فوراً فهمید کدام محصولات آلوده‌اند.

توسعه‌دهنده چگونه خطر را کم کند?

قفل‌کردن نسخه وابستگی‌ها، بررسی بسته‌های تازه قبل از افزودن، فعال‌کردن امضا و احراز دومرحله‌ای در مخازن، و اسکن مداوم وابستگی‌ها در CI/CD حداقل‌های امروزند.

واژه‌های مرتبط