奇安信专家:近八成软件存开源漏洞 供应链需全生命周期安全防护

本文主要是介绍奇安信专家:近八成软件存开源漏洞 供应链需全生命周期安全防护,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

 聚焦源代码安全,网罗国内外最新资讯!

专栏·供应链安全

数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。

随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。近年来,针对软件供应链的安全攻击事件一直呈快速增长态势,造成的危害也越来越严重。

为此,我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯,分析供应链安全风险,提供缓解建议,为供应链安全保驾护航。

注:以往发布的部分供应链安全相关内容,请见文末“推荐阅读”部分。

2020年12月13日,全球最著名的网管软件供应商SolarWinds遭遇高度复杂的供应链攻击,包括美国关键基础设施、军队、政府在内的18000+企业客户,可任由攻击者完全操控,这件事再度敲响了软件供应链安全的警钟。

“‘企业自主开发代码缺陷密度达10.13个/千行’、‘开源项目源代码缺陷密度达14.22个/千行’、‘存在开源软件漏洞的项目占比达77.5%’……这一个个数据的背后,无不透露出软件供应链存在着巨大的安全隐患。” 

在5月20日举办的2021 IT市场年会网络安全高峰论坛上,奇安信集团代码安全事业部总经理黄永刚分享了软件供应链安全的现状。

软件供应链面临巨大安全危机

为应对软件供应链安全挑战,5月12日,美国总统拜登签署了“加强国家网络安全的行政命令”,明确提出要加强软件供应链安全,要求向联邦政府出售软件的任何企业不仅提供应用程序,而且还必须提供软件物料清单 (即软件的各项组件)。

从近几年的网络攻击趋势来看,软件(包括固件)尤其是较为流行的软件供应链,正在成为黑客实施供应链攻击的重要突破口,而且此类攻击往往能够“突破一点,打击一片”,危害性极大,甚至很多网络安全软件自身都存在供应链风险。

黄永刚表示:“软件供应链可划分为开发、交付、运行三个大的环节,每个环节都可能会引入供应链安全风险从而遭受攻击,上游环节的安全问题会传递到下游环节并被放大。”

据黄永刚介绍,从2015年开始,奇安信代码安全实验室依托代码卫士和开源卫士领先的源代码的检测能力,针对企业自主开发代码、开源软件源代码、多款应用广泛的商业软件等,发起了多项安全检测计划,全面展示了软件供应链安全的全貌。

截至目前,奇安信代码卫士检测了近2000个企业级软件开发项目、3亿+行源代码,共发现跨站脚本XSS、SQL注入等各类安全缺陷3374688个,整体缺陷密度达到10.13个/千行。其中高危安全缺陷360921个,整体高危缺陷密度达到1.08个/千行。

开源软件的源代码缺陷则更加密集。据“奇安信开源项目检测计划”的检测结果显示,开软项目的缺陷密度达到了14.22个/千行,其中高危缺陷密度则为0.72个/千行。众所周知,开源软件是软件开发最基础的原材料,位于软件供应链的源头,且应用及其广泛。其自身的安全状况,直接影响最终软件的安全性。

近8成软件项目引入了开源软件漏洞

奇安信开源卫士针对2188个企业软件项目的检测结果显示,所有软件项目均使用了开源软件,平均每个项目使用开源软件数量达135个;其中被使用最多的开源软件出现在了581个项目中,渗透率达到了26.6%。

在所有被检测的项目中,奇安信开源卫士共检出开源漏洞114862个,平均每个项目存在52.5个开源软件漏洞。其中,存在开源软件漏洞的项目1695个,占比77.5%;存在高危开源软件漏洞的项目1559个,占比71.3%;存在超危开源软件漏洞的项目1319个,占比60.3%。

值得关注的是,影响面最大的开源软件漏洞(Spring FrameWork漏洞)出现在973个项目中,渗透率高达44.5%。这也就是说,一旦该漏洞被攻击者利用,将影响近半数的企业软件,波及的企业数量更加不计其数。

与此同时,摄像头、路由器等智能联网设备也未能幸免。2019年初,奇安信发起了固件安全检测计划,针对联网设备固件中引用的开源软件及其漏洞进行分析。

奇安信固件卫士的检测结果显示,86.4%的设备的最新固件存在至少一个老旧开源软件漏洞,漏洞最多的固件存在74个老旧开源软件漏洞。更有甚者,2014年曝出的“心脏滴血”漏洞,仍然存在于5.3%的最新设备中。

供应链安全应成为数字化的底板

面对上述严峻的挑战,黄永刚强调,在当前软件供应链安全基础较薄弱的形势下,软件供应链安全应成为信息系统安全的底板工程,亟需建立安全与软件供应链全生命周期深度融合、全面覆盖的安全体系,来保障软件从开发、交付到运行的全过程、全生命周期安全。

其中,针对软件成分及其风险的分析,是软件供应链安全的基础和关键部分,建议作为软件供应链安全工作开展的首要事。用户在采购商业货架软件、自行开发软件系统或委托第三方定制开发软件系统时,应对软件源代码、二进制代码中所包含的开源软件成分及其安全风险进行充分的了解,形成开源软件成分清单,并持续跟踪这些开源软件的安全风险情报。

对此,奇安信依托代码卫士、开源卫士以及固件卫士三大代码安全产品,可以针对软件源代码、二进制代码、安装包、安装目录、运行态程序、固件、容器镜像等软件全生命期、各种形态的软件进行供应链安全检测和分析,帮助客户尽早发现和规避软件供应链安全风险,为数字化转型保驾护航。


推荐阅读

Codecov后门事件验证分析

微软“照片”应用Raw 格式图像编码器漏洞 (CVE-2021-24091)的技术分析

速修复!热门npm 库 netmask 被曝严重的软件供应链漏洞,已存在9年

SolarWinds 供应链事件后,美国考虑实施软件安全评级和标准机制

找到软件供应链的薄弱链条

GitHub谈软件供应链安全及其重要性

揭秘新的供应链攻击:一研究员靠它成功入侵微软、苹果等 35 家科技公司

谷歌Linux基金会等联合推出开源软件签名服务 sigstore,提振软件供应链安全

Linus Torvalds 警告:勿用 Linux 5.12 rc1,担心供应链攻击?

微软和火眼又分别发现SolarWinds 供应链攻击的新后门

找到恶意软件包:Go 语言生态系统中的供应链攻击是怎样的?

拜登签署行政令,要求保护美国关键供应链(含信息技术)的安全

坐火车太无聊,我溜入微软 VS Code官方GitHub仓库,但没敢发动供应链攻击

SolarWinds 供应链攻击中的第四款恶意软件及其它动态

OpenWRT开源项目论坛遭未授权访问,可被用于供应链攻击

FireEye事件新动态:APT 攻击 SolarWinds 全球供应链(详解)

FireEye 红队失窃工具大揭秘之:分析复现SolarWinds RCE 0day (CVE-2020-10148)

FireEye红队失窃工具大揭秘之:分析复现Zoho ManageEngine RCE (CVE-2020-10189)

FireEye 红队失窃工具大揭秘之:分析复现 Zoho 任意文件上传漏洞(CVE-2020-8394)

FireEye 红队失窃工具大揭秘之:分析复现 Confluence路径穿越漏洞 (CVE-2019-3398)

FireEye 红队失窃工具大揭秘之:分析复现 Atlassian RCE (CVE-2019-11580)

Ripple 20:严重漏洞影响全球数十亿IoT设备,复杂软件供应链使修复难上加难

被后爹坑:开源 JavaScript 库沦为摇钱树

速修复!开源企业自动化软件 Apache OFBiz 出现严重的 RCE 漏洞

谷歌提出治理开源软件漏洞的新框架:知悉、预防、修复

开源软件漏洞安全风险分析

开源OS FreeBSD 中 ftpd chroot 本地提权漏洞 (CVE-2020-7468) 的技术分析

集结30+漏洞 exploit,Gitpaste-12 蠕虫影响 Linux 和开源组件等

题图:Pixabay License

奇安信代码卫士原创出品。转载请注明 “转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

    觉得不错,就点个 “在看” 或 "赞” 吧~

这篇关于奇安信专家:近八成软件存开源漏洞 供应链需全生命周期安全防护的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/597160

相关文章

阿里开源语音识别SenseVoiceWindows环境部署

SenseVoice介绍 SenseVoice 专注于高精度多语言语音识别、情感辨识和音频事件检测多语言识别: 采用超过 40 万小时数据训练,支持超过 50 种语言,识别效果上优于 Whisper 模型。富文本识别:具备优秀的情感识别,能够在测试数据上达到和超过目前最佳情感识别模型的效果。支持声音事件检测能力,支持音乐、掌声、笑声、哭声、咳嗽、喷嚏等多种常见人机交互事件进行检测。高效推

客户案例:安全海外中继助力知名家电企业化解海外通邮困境

1、客户背景 广东格兰仕集团有限公司(以下简称“格兰仕”),成立于1978年,是中国家电行业的领军企业之一。作为全球最大的微波炉生产基地,格兰仕拥有多项国际领先的家电制造技术,连续多年位列中国家电出口前列。格兰仕不仅注重业务的全球拓展,更重视业务流程的高效与顺畅,以确保在国际舞台上的竞争力。 2、需求痛点 随着格兰仕全球化战略的深入实施,其海外业务快速增长,电子邮件成为了关键的沟通工具。

金融业开源技术 术语

金融业开源技术  术语 1  范围 本文件界定了金融业开源技术的常用术语。 本文件适用于金融业中涉及开源技术的相关标准及规范性文件制定和信息沟通等活动。

安全管理体系化的智慧油站开源了。

AI视频监控平台简介 AI视频监控平台是一款功能强大且简单易用的实时算法视频监控系统。它的愿景是最底层打通各大芯片厂商相互间的壁垒,省去繁琐重复的适配流程,实现芯片、算法、应用的全流程组合,从而大大减少企业级应用约95%的开发成本。用户只需在界面上进行简单的操作,就可以实现全视频的接入及布控。摄像头管理模块用于多种终端设备、智能设备的接入及管理。平台支持包括摄像头等终端感知设备接入,为整个平台提

软件设计师备考——计算机系统

学习内容源自「软件设计师」 上午题 #1 计算机系统_哔哩哔哩_bilibili 目录 1.1.1 计算机系统硬件基本组成 1.1.2 中央处理单元 1.CPU 的功能 1)运算器 2)控制器 RISC && CISC 流水线控制 存储器  Cache 中断 输入输出IO控制方式 程序查询方式 中断驱动方式 直接存储器方式(DMA)  ​编辑 总线 ​编辑

2024网安周今日开幕,亚信安全亮相30城

2024年国家网络安全宣传周今天在广州拉开帷幕。今年网安周继续以“网络安全为人民,网络安全靠人民”为主题。2024年国家网络安全宣传周涵盖了1场开幕式、1场高峰论坛、5个重要活动、15场分论坛/座谈会/闭门会、6个主题日活动和网络安全“六进”活动。亚信安全出席2024年国家网络安全宣传周开幕式和主论坛,并将通过线下宣讲、创意科普、成果展示等多种形式,让广大民众看得懂、记得住安全知识,同时还

K8S(Kubernetes)开源的容器编排平台安装步骤详解

K8S(Kubernetes)是一个开源的容器编排平台,用于自动化部署、扩展和管理容器化应用程序。以下是K8S容器编排平台的安装步骤、使用方式及特点的概述: 安装步骤: 安装Docker:K8S需要基于Docker来运行容器化应用程序。首先要在所有节点上安装Docker引擎。 安装Kubernetes Master:在集群中选择一台主机作为Master节点,安装K8S的控制平面组件,如AP

【STM32】SPI通信-软件与硬件读写SPI

SPI通信-软件与硬件读写SPI 软件SPI一、SPI通信协议1、SPI通信2、硬件电路3、移位示意图4、SPI时序基本单元(1)开始通信和结束通信(2)模式0---用的最多(3)模式1(4)模式2(5)模式3 5、SPI时序(1)写使能(2)指定地址写(3)指定地址读 二、W25Q64模块介绍1、W25Q64简介2、硬件电路3、W25Q64框图4、Flash操作注意事项软件SPI读写W2

免费也能高质量!2024年免费录屏软件深度对比评测

我公司因为客户覆盖面广的原因经常会开远程会议,有时候说的内容比较广需要引用多份的数据,我记录起来有一定难度,所以一般都用录屏工具来记录会议内容。这次我们来一起探索有什么免费录屏工具可以提高我们的工作效率吧。 1.福晰录屏大师 链接直达:https://www.foxitsoftware.cn/REC/  录屏软件录屏功能就是本职,这款录屏工具在录屏模式上提供了多种选项,可以选择屏幕录制、窗口

MiniGPT-3D, 首个高效的3D点云大语言模型,仅需一张RTX3090显卡,训练一天时间,已开源

项目主页:https://tangyuan96.github.io/minigpt_3d_project_page/ 代码:https://github.com/TangYuan96/MiniGPT-3D 论文:https://arxiv.org/pdf/2405.01413 MiniGPT-3D在多个任务上取得了SoTA,被ACM MM2024接收,只拥有47.8M的可训练参数,在一张RTX