第 7 章 信任应用程序 信任应用程序

硅谷著名投资人马克安德烈森有一句名言："软件正在吞噬世界"。在许多方面，这句话从未如此真实。正是运行在数据中心中的软件创造了一切奇迹，因此，我们希望信任软件的执行力，这已不是什么秘密。

在可信设备上运行的代码将被忠实执行。可信设备是信任代码的前提，这一点我们在第 5 章中已经介绍过。不过，即使我们的执行环境已经安全，我们仍有许多工作要做，以确保在设备上运行的代码是可信的。

因此，信任设备只是成功的一半。我们还必须信任代码和编写代码的程序员。我们的目标是确保正在运行的应用程序的完整性，因此我们必须找到方法，将人的信任从代码本身一直延伸到实际执行中。

在代码中建立信任需要做到这一点：

• 编写代码的人本身就是值得信赖的
• 对代码进行了忠实处理，以生成值得信赖的应用程序
• 受信任的应用程序被忠实地部署到要运行的基础设施中
• 持续监控受信任的应用程序，以防有人试图胁迫应用程序进行恶意操作

本章将讨论确保上述每个步骤安全的方法，重点关注从人类到生产应用程序的信任继承。

了解应用管道

计算机系统中代码的创建、传输和执行是一连串非常敏感的事件。由于能够获得更多的访问权限，这些系统对于对手来说是一个极具吸引力的目标。每个步骤都存在攻击载体，这些阶段的颠覆行为很难被发现。因此，我们必须努力确保这一链条（如图 7-1 所示）中每个环节的安全，使颠覆行为都能被检测到。

这一过程类似于供应链安全，是世界各国政府为加强安全而做出的集体努力 。确保军事装备的安全制造/采购是保证战斗力的关键，软件的创建和交付也不例外。

供应链关键性

2007 年，以色列政府对叙利亚境内一处疑似核设施实施了空袭。围绕这次空袭的众多谜团之一是叙利亚雷达系统突然失灵，为以色列人提供了掩护。这些雷达系统本应是最先进的，但现在人们普遍认为其失灵的原因是隐藏在雷达设备所使用的商用芯片中的一个硬件致命开关。虽然从未得到完全证实，但这样的故事凸显了安全供应链的重要性，无论是硬件还是软件。

为支持安全软件交付链，流程中的每一步都应完全可审计，并在每个关键点进行加密验证。一般来说，这些步骤可分为四个不同的阶段：

• 源代码
• 构建/编译
• 分发
• 执行

让我们从信任源代码本身开始。

图 7-1. 构建管道既取决于创建源代码和配置系统的工程师的安全性，也取决于管道组件的安全性

信任源泉

源代码是运行任何软件的第一步。简单地说，很难信任由不值得信任的人编写的源代码。即使对代码进行了仔细的审核，恶意开发者仍有可能在众目睽睽之下故意编码（并隐藏！）漏洞。事实上，甚至有一个著名的竞赛就是专门针对这种黑暗艺术的。虽然即使是善意的开发人员也可能无意中为应用程序添加弱点，但零信任网络将专注于识别恶意使用，而不是消除这些用户的信任。

抛开可信开发人员的问题不谈，我们仍然面临着安全存储和分发源代码本身的问题。通常情况下，源代码会存储在一个集中的代码库中，许多开发人员都会与之交互并提交工作。这些代码库也必须受到严格控制，尤其是当它们被构建/编译相关代码的系统直接使用时。

确保存储库安全

在确保软件库安全方面，保持传统的安全方法仍然有效，并不妨碍增加更先进的安全功能。这包括一些基本原则，如最少访问原则，即只允许用户访问完成手头任务所需的版本库。在实践中，这通常表现为对写入权限的严格限制。 ...