在现代软件开发中,依赖管理自动化已成为常态。GitHub 推出的 Dependabot 能够自动扫描项目依赖并提交安全更新 PR,表面上看这是一项提升安全性的贴心功能。然而,知名安全工程师 Filippo Valsorda 却对此持截然不同的态度 —— 他在公开演讲和文章中多次指出,Dependabot 及其类似的自动化依赖更新工具,实际上可能在增加而非降低供应链安全风险。这一观点值得所有关注软件供应链安全的团队深思。
自动化更新带来的虚假安全感
Valsorda 在其「Geomys Standard of Care」文章中明确表示,他的团队完全不使用 Dependabot 这类自动依赖升级工具。他的核心论点是:这些工具只会制造「 churn 」(无意义的消耗),并且在生态系统有时间检测到攻击之前就将新版本引入项目,从而增加了供应链攻击的风险。更值得关注的是,他指出了 Dependabot 存在令人担忧的冒充风险 —— 如果攻击者能够模仿或劫持该机器人的身份,就可以轻易利用它进行社会工程攻击。
这种虚假安全感的危害在于,当团队看到仪表盘上显示「绿色安全」状态时,往往会停止投资于那些更困难但更有价值的安全控制措施。Valsorda 认为,真正有效的安全实践包括:最小权限的 CI 配置、严格的账户安全措施、仔细审查工作流触发器等。但如果团队将安全保障完全托付给自动化工具,反而会在实际上变得更不安全,尽管表面上呈现的是「安全」状态。
自动化工具如何成为攻击放大器
在 Valsorda 对 2024 至 2025 年开源供应链攻击事件的回顾性调查中,他揭示了一个令人不安的模式:攻击者首先获得发布包的能力,然后发布恶意版本,接着等待下游更新 —— 这个过程「可能借助 Dependabot 的帮助」。这意味着自动化依赖更新工具实际上成为了攻击力的倍增器 —— 一旦攻击者成功入侵某个软件包,自动更新机制会加速恶意版本在整个生态系统中的传播速度。
传统的供应链攻击往往依赖于复杂的漏洞利用,但现代攻击更多依赖于凭据薄弱环节、CI/CD 配置错误以及自动化工作流中的信任滥用。Dependabot 正是这个信任链条中的关键一环:它以项目维护者的名义创建 PR,拥有一定的信任级别,如果攻击者能够利用这一点,就能在毫无警觉的情况下将恶意代码注入数以千计的下游项目中。
构建更安全的依赖信任模型
Valsorda 此前关于供应链安全的研究将信任划分为三个层次:语言层、生态系统层和组织层。每一层都有不同的职责 —— 语言层「启用」某些行为,生态系统层「传播或限制」信任,而组织层则「管理或缓解」风险。他特别强调,引入一个依赖项不仅仅是信任该包本身,还意味着将该信任委托给所有的传递依赖。在健康的生态系统中,应该像对待技术债务一样努力控制和推理这些信任边界,而不是让它们不受控制地增长。
基于这一分析,如果团队希望在获得自动化依赖更新便利性的同时规避 Valsorda 所指出的风险,应该采取以下实践:将机器人创建的 PR 视为不可信任的代码,必须经过完整的审查和测试流程后才能合并,坚决避免自动合并;限制机器人可用的权限,避免在 CI 工作流中使用诸如 pull_request_target 这类高度特权的触发器;在版本采纳上保持一定的延迟策略,不要第一时间跟进「最新版本」,而是留出时间让社区发现和调查潜在的恶意发布;持续监控机器人的异常行为,防范冒充和社工攻击。
重新审视自动化工具的信任边界
Filippo Valsorda 的分析并非要全盘否定 Dependabot 的价值,而是提醒我们重新审视自动化工具在安全体系中的角色。当一项工具被标榜为「安全保障」时,人们往往倾向于不加批判地信任它,而这种盲从恰恰是安全防护中最危险的敌人。供应链安全的真正含义,不是将信任外包给某个机器人,而是清醒地认识到每一层依赖所携带的风险,并建立相应的控制和监控机制。在这个自动化程度日益加深的时代,保持这种审慎的态度,或许是抵御供应链攻击最为关键的能力。
资料来源:Filippo Valsorda「The Geomys Standard of Care」文章及供应链攻击回顾性调查。