《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 近八成軟件存開源漏洞 供應(yīng)鏈需全生命周期安全防護(hù)

近八成軟件存開源漏洞 供應(yīng)鏈需全生命周期安全防護(hù)

2021-06-02
來源:網(wǎng)絡(luò)安全應(yīng)急技術(shù)國家工程實(shí)驗(yàn)室
關(guān)鍵詞: 開源漏洞 安全防護(hù)

  2020年12月13日,全球最著名的網(wǎng)管軟件供應(yīng)商SolarWinds遭遇高度復(fù)雜的供應(yīng)鏈攻擊,包括美國關(guān)鍵基礎(chǔ)設(shè)施,、軍隊(duì),、政府在內(nèi)的18000+企業(yè)客戶,可任由攻擊者完全操控,,這件事再度敲響了軟件供應(yīng)鏈安全的警鐘,。

  “‘企業(yè)自主開發(fā)代碼缺陷密度達(dá)10.13個(gè)/千行’,、‘開源項(xiàng)目源代碼缺陷密度達(dá)14.22個(gè)/千行’,、‘存在開源軟件漏洞的項(xiàng)目占比達(dá)77.5%’……這一個(gè)個(gè)數(shù)據(jù)的背后,,無不透露出軟件供應(yīng)鏈存在著巨大的安全隱患?!?/p>

  軟件供應(yīng)鏈面臨巨大安全危機(jī)

  為應(yīng)對(duì)軟件供應(yīng)鏈安全挑戰(zhàn),,5月12日,美國總統(tǒng)拜登簽署了“加強(qiáng)國家網(wǎng)絡(luò)安全的行政命令”,,明確提出要加強(qiáng)軟件供應(yīng)鏈安全,,要求向聯(lián)邦政府出售軟件的任何企業(yè)不僅提供應(yīng)用程序,而且還必須提供軟件物料清單 (即軟件的各項(xiàng)組件),。

  從近幾年的網(wǎng)絡(luò)攻擊趨勢(shì)來看,,軟件(包括固件)尤其是較為流行的軟件供應(yīng)鏈,正在成為黑客實(shí)施供應(yīng)鏈攻擊的重要突破口,,而且此類攻擊往往能夠“突破一點(diǎn),,打擊一片”,危害性極大,,甚至很多網(wǎng)絡(luò)安全軟件自身都存在供應(yīng)鏈風(fēng)險(xiǎn),。

  “軟件供應(yīng)鏈可劃分為開發(fā)、交付,、運(yùn)行三個(gè)大的環(huán)節(jié),,每個(gè)環(huán)節(jié)都可能會(huì)引入供應(yīng)鏈安全風(fēng)險(xiǎn)從而遭受攻擊,上游環(huán)節(jié)的安全問題會(huì)傳遞到下游環(huán)節(jié)并被放大,?!?/p>

  開源軟件的源代碼缺陷則更加密集。開軟項(xiàng)目的缺陷密度達(dá)到了14.22個(gè)/千行,,其中高危缺陷密度則為0.72個(gè)/千行,。眾所周知,開源軟件是軟件開發(fā)最基礎(chǔ)的原材料,,位于軟件供應(yīng)鏈的源頭,,且應(yīng)用及其廣泛。其自身的安全狀況,,直接影響最終軟件的安全性,。

  近8成軟件項(xiàng)目引入了開源軟件漏洞

  針對(duì)2188個(gè)企業(yè)軟件項(xiàng)目的檢測(cè)結(jié)果顯示,所有軟件項(xiàng)目均使用了開源軟件,,平均每個(gè)項(xiàng)目使用開源軟件數(shù)量達(dá)135個(gè),;其中被使用最多的開源軟件出現(xiàn)在了581個(gè)項(xiàng)目中,滲透率達(dá)到了26.6%,。

  在所有被檢測(cè)的項(xiàng)目中,,平均每個(gè)項(xiàng)目存在52.5個(gè)開源軟件漏洞,。其中,存在開源軟件漏洞的項(xiàng)目1695個(gè),,占比77.5%,;存在高危開源軟件漏洞的項(xiàng)目1559個(gè),占比71.3%,;存在超危開源軟件漏洞的項(xiàng)目1319個(gè),,占比60.3%。

  值得關(guān)注的是,,影響面最大的開源軟件漏洞(Spring FrameWork漏洞)出現(xiàn)在973個(gè)項(xiàng)目中,,滲透率高達(dá)44.5%。這也就是說,,一旦該漏洞被攻擊者利用,,將影響近半數(shù)的企業(yè)軟件,波及的企業(yè)數(shù)量更加不計(jì)其數(shù),。

  與此同時(shí),,攝像頭、路由器等智能聯(lián)網(wǎng)設(shè)備也未能幸免,,針對(duì)聯(lián)網(wǎng)設(shè)備固件中引用的開源軟件及其漏洞進(jìn)行分析,。86.4%的設(shè)備的最新固件存在至少一個(gè)老舊開源軟件漏洞,漏洞最多的固件存在74個(gè)老舊開源軟件漏洞,。更有甚者,,2014年曝出的“心臟滴血”漏洞,,仍然存在于5.3%的最新設(shè)備中,。

  供應(yīng)鏈安全應(yīng)成為數(shù)字化的底板

  在當(dāng)前軟件供應(yīng)鏈安全基礎(chǔ)較薄弱的形勢(shì)下,軟件供應(yīng)鏈安全應(yīng)成為信息系統(tǒng)安全的底板工程,,亟需建立安全與軟件供應(yīng)鏈全生命周期深度融合,、全面覆蓋的安全體系,來保障軟件從開發(fā),、交付到運(yùn)行的全過程,、全生命周期安全。

  其中,,針對(duì)軟件成分及其風(fēng)險(xiǎn)的分析,,是軟件供應(yīng)鏈安全的基礎(chǔ)和關(guān)鍵部分,建議作為軟件供應(yīng)鏈安全工作開展的首要事,。用戶在采購商業(yè)貨架軟件,、自行開發(fā)軟件系統(tǒng)或委托第三方定制開發(fā)軟件系統(tǒng)時(shí),應(yīng)對(duì)軟件源代碼,、二進(jìn)制代碼中所包含的開源軟件成分及其安全風(fēng)險(xiǎn)進(jìn)行充分的了解,,形成開源軟件成分清單,,并持續(xù)跟蹤這些開源軟件的安全風(fēng)險(xiǎn)情報(bào)。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章,、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容,、版權(quán)和其它問題,請(qǐng)及時(shí)通過電子郵件或電話通知我們,,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118,;郵箱:[email protected],。