进网络安全行业群
开源供应链技术风险主要表现在大量开源项目、开源组件存在安全漏洞。在开源软件供应链中,供应链上游的漏洞会随着组件依赖和代码复用被引入到下游的应用软件中,因此漏洞数量近年来逐年递增,开发流程和最终使用者代码审计技能的不完善也会增大安全风险。直接和间接使用该开源代码或组件的用户基数越大,开源项目对攻击者的吸引力就越大,一旦出现问题影响也越大。| 安全漏洞数量持续增长
在过去几年中,包含漏洞的开源软件数量持续高速增长。安全企业Sonatype《Annual State of the Software SupplyChain2023》调查统计了390多万个开源库,其中有245032个存在漏洞,较前五年相比急剧增长。已发布的开源软件漏洞数量也在不断增加,根据网安企业Mend最新一期的《Mend Open SourceRisk Report》统计,近年来全球开源软件漏洞数量持续增加,在2022年,平均每个月新增开源漏洞数量已超1000。漏洞增加的原因有很多,一部分原因是现在有更多的自动扫描和检测工具可以在开源软件中发现和修复这些安全漏洞,更重要的原因是全球利用上游开源生态系统(如JavaScript、Java、.NET和Python)的弱点而攻击的行为在持续增长。根据安全企业Sonatype的《AnnualState of the Software Supply Chain 2023》调查统计,在2022年开源软件供应链攻击同比增长742%,较前一年的650%再次大幅增长。开源软件供应链易的风险点在于攻击者发布恶意开源项目、植入恶意代码、使用易于合法包混淆的包名等。和其他软件安全风险相似的是,开源软件攻击者的主要手段是数据窃取、勒索病毒、获取主机权限、拒绝服务攻击以及其他获取经济利益的手段。根据新思(Synopsys)公司《2024年开源安全和风险分析报告》,BlackDuck漏洞审计团队在2023年审计的1067个流行代码库中,96%的代码库包含开源代码,84%的包含至少一个漏洞,74%的包含高风险漏洞。| 安全漏洞层级传播
在开源组件复杂的依赖关系中,一旦上游项目发现有严重漏洞,就会直接或间接地影响到依赖它的下游开源软件,在错综复杂的层级依赖关系传播后,该漏洞隐匿在深层依赖的应用中不易被发现,为全球软件供应链带来无法估量且不可控的影响。根据安全企业Veracode发布的《State of Software Security:Open Source Edition》,统计了8.5k个应用和35.1k个开源软件库的数据显示,软件应用中平均每个软件应用依赖283个开源库,有90%的应用依赖34个以上的开源库,有10%的应用依赖1400个以上的开源库。其中依赖情况最复杂的是JavaScript,JavaScript应用中平均每个应用依赖377个开源库,有90%的应用依赖66个以上的开源库。按编程语言统计,大部分开源库平均漏洞数量介于2-3个之间,包含缺陷库的百分比最低的是.NET,最高的是PHP语言。统计这些库中所有已发现漏洞类型,比例最高的是跨站脚本漏洞,之后分别是反序列化漏洞、越权漏洞。前三种类型在所有已发现的漏洞中占比超过四分之三。| 安全漏洞修复滞后
开源软件开发过程中使用过时的、存在漏洞的开源组件仍然是常态。据Linux基金会统计,超过80%的代码库包含四年未更新的组件。根据Sonatype的《Annual State of the Software Supply Chain2023》调查统计,只有28%的组织机构可在1天之内追踪到最新发布的漏洞。39%的组织机构在1到7天内追踪到并着手修复漏洞,29%的组织机构需要1周以上的时间才能追踪到。这意味着将有很长一段时间,软件应用暴露潜在的恶意攻击下。以2021年影响最大的Apache Log4j2漏洞事件为例。据不完全统计,GitHub超过8600多个开源软件直接依赖Log4j2组件,但通过这些开源软件继续追溯,最终超过20万个开源软件受到了影响。同时,在官方第一次发布修复版本的一周时间后,仍然有超过80%的间接关联开源软件没有被修复。| 基础平台以及重要项目面临巨大的安全压力
2024年3月全球最大的开源软件平台GitHub遭受了大规模攻击,涉及克隆安全且干净的存储库,添加恶意的、模糊的代码后重新上传。据报道,此类攻击于2023年5月开始,呈指数级增长。随着这些攻击的继续,越来越多的用户可能被感染。历史上,Github多次面临恶意攻击和信息泄露风险。例如,2023年GitHub平台上发生了大规模的敏感信息泄露事件,超过300万个公开代码库累计泄漏超过1280万个身份验证和敏感密钥。2018年,Github遭受峰值高达1.3Tbs/秒的严重的DDoS攻击,其他年份也多次遭受严重攻击。Github作为开源领域的重要基础平台,长期面临巨大压力。在重要项目方面,2024年爆出的开源软件xz后门事件引起业界震惊。一款在Red Hat和Debian等多个广泛使用的Linux版本中的压缩工具被发现植入了恶意代码,发现时该代码已存在三年,若xz被广泛引入各Linux发行版,Linux系统也将会轻易被入侵。目前,GitHub已经禁用XZ Utils代码库。(防御加固、威胁情报、渗透测试、漏洞、代码审计、勒索病毒、CTF、逆向)