Serangan SolarWinds dan Log4Shell membuktikan bahwa rantai pasok software adalah target utama. Pelajari cara melindungi dari supply chain attack.
Apa Itu Supply Chain Attack?
Supply chain attack menargetkan elemen yang kurang aman dalam rantai pasok software, seperti library open-source, build system, atau distribution mechanism.
Kasus Supply Chain Attack Terkenal
- SolarWinds (2020): Backdoor di update Orion, berdampak pada 18.000+ organisasi
- Log4Shell (2021): Vulnerability critical di library Log4j yang digunakan jutaan aplikasi
- Codecov (2021): Bash uploader script dimodifikasi untuk mencuri credentials
- ua-parser-js (2021): NPM package populer ditakeover dan disuntik malware
- xz Utils (2024): Backdoor yang hampir masuk ke distro Linux utama
Strategi Perlindungan
- SBOM (Software Bill of Materials): Inventaris semua dependency
- Dependency Scanning: Gunakan Snyk, Dependabot, atau Trivy
- Lock Files: Pin versi dependency spesifik
- Code Signing: Verifikasi integritas software
- SLSA Framework: Supply-chain Levels for Software Artifacts
- Private Registry: Mirror dependency internal
- Minimal Dependencies: Kurangi surface area
Tools SBOM & SCA
Syft, CycloneDX, SPDX untuk SBOM generation. Grype, Snyk, OWASP Dependency-Check untuk vulnerability scanning.