开源软件供应链安全分析与防范对策_芦天亮.pdf
《开源软件供应链安全分析与防范对策_芦天亮.pdf》由会员分享,可在线阅读,更多相关《开源软件供应链安全分析与防范对策_芦天亮.pdf(5页珍藏版)》请在咨信网上搜索。
1、【摘 要】本文介绍了开源软件供应链的发展现状,从安全漏洞、传播风险、运维情况 3 个方面总结了开源软件供应链所存在的安全问题;基于 2021 年以来的重大安全事件,从开源漏洞利用和开源投毒攻击 2 个角度对开源软件供应链面临的风险进行分析;同时提出了在开源软件开发、分发和使用全生命周期各环节应采取的安全防范对策,以全面保障开源软件供应链安全。【关键词】开源软件供应链安全 开源投毒 漏洞利用 安全防范【中图分类号】TP311.13;TP309 【文献标识码】A1 引言数 字 化 时 代,软 件 定 义 世 界,也 是保 证 现 代 社 会 正 常 运 转 的 关 键 要 素。与此 同 时,开 源
2、 协 作 模 式 已 成 为 软 件 产 业的 主 要 开 发 模 式,不 仅 能 够 实 现 人 类 智慧 共 享、提 高 软 件 开 发 效 率,而 且 正 在引 领 技 术 创 新 和 价 值 创 造,大 数 据、人工 智 能、云 计 算 等 新 兴 领 域 的 基 础 软 件均 是 基 于 开 源 模 式 进 行 研 发 的1。软 件的 开 源 化 势 不 可 挡,开 源 代 码 正 如 软 件世 界 的 道 路 和 桥 梁,重 要 性 与 日 俱 增。然而,自2021年以来愈加频发的开源 软 件 供 应 链 安 全 事 件,充 分 揭 露 出 在软 件 开 发 阶 段 引 入 开 源
3、 代 码 这 一 做 法,在 提 高 开 发 效 率 的 同 时,也 带 来 了 巨 大的 安 全 隐 患。这 也 迅 速 引 发 了 全 球 学 术界 和 产 业 界 对 开 源 软 件 供 应 链 安 全 的 广开源软件供应链安全分析与防范对策 芦天亮 袁梦娇 /中国人民公安大学信息网络安全学院2022 年 12 月|保密科学技术|27特别策划泛 关 注。例 如,2 0 2 2年1月,A p a c h e基 金 会、谷 歌、苹 果、微 软 等 技 术 公司,以 及 美 国 商 务 部、国 防 部、网 络 安全 和 基 础 设 施 安 全 局 等 联 邦 机 构 共 同 参加 了 白 宫
4、开 源 软 件 安 全 峰 会;2 0 2 2年8月,黑 帽 大 会(B l a c k H a t 2 0 2 2)围绕“软 件 供 应 链 安 全”“开 源 网 络 风险”这2个 中 心 议 题 展 开 了 充 分 探 讨。开 源 软 件 供 应 链 安 全 成 为 当 前 网 络 空 间安全领域的焦点问题。2 开源软件供应链发展现状2.1 开源软件供应链体系日益庞大目 前,全 球 开 源 生 态 正 在 蓬 勃 发展,一 方 面,全 球 开 源 软 件 供 应 加 速,根 据 开 源 服 务 提 供 商S o n a t y p e的 统 计数 据2,2 0 2 1年 全 球 排 名 前
5、 四 的 开 源生 态 系 统J a v a、J a v a S c r i p t、P y t h o n和.N E T共 发 布 了6 3 0 2 7 3 3个 新 版 本的 开 源 组 件 和7 2 3 5 7 0个 全 新 的 开 源 项目,年 环 比 增 加20%;另 一 方 面,全 球开 源 软 件 需 求 呈 现 爆 炸 式 增 长,2 0 2 1年 全 球 开 发 者 共 从 上 述4大 开 源 生 态 系统 请 求 了 超 过2.2万 亿 个 开 源 组 件,下载 量 同 比 增 长7 3%。随 着“到2 0 2 5年建 设23个 有 国 际 影 响 力 的 开 源 社 区,
6、培 育 超 过1 0个 优 质 开 源 项 目”的 目 标被 写 入 “十 四 五”软 件 和 信 息 技 术 服务 业 发 展 规 划 ,我 国 的 开 源 软 件 将 在未 来 的35年 内 迎 来 高 速 发 展 阶 段3。2.2 开源软件供应链呈现网络型的特点传 统 情 况 下,基 于 软 件 生 产、交付、使 用/运 维 等 环 节 的 分 工 协 作 在 整体 上 形 成 了 一 条 线 性 的 软 件 供 应 链。然而,在 现 代 开 源 协 作 的 软 件 开 发 模 式下,一 方 面,大 部 分 系 统 软 件 和 应 用 软件 的 开 发 者 会 根 据 开 发 需 求 优
7、 先 选 择 基于 开 源 代 码 进 行 修 改 和 拓 展;另 一 方面,第 三 方 开 源 组 件 的 开 发 者 也 会 通 过下 载 安 装 其 他 开 源 组 件 来 提 高 代 码 开 发的 效 率。因 此,最 终 发 布 的 软 件 通 常 依赖 大 量 的 开 源 组 件,而 这 些 开 源 组 件 又同 样 依 赖 其 他 的 开 源 组 件,从 而 形 成 复杂 的 依 赖 关 系 网 络。随 着 开 源 软 件 在 软件 供 应 链 各 环 节 中 的 渗 透 率 不 断 升 高,开 源 软 件 供 应 链 呈 现 出 网 络 型 的 新 特点,依赖、供应关系网络日益庞
8、杂。3 开源软件供应链安全问题与 传 统 的 安 全 威 胁 不 同,软 件 供 应链 上 游 的 安 全 问 题 会 传 递 至 所 有 的 下 游环 节,从 而 造 成 广 泛 影 响。随 着 开 源 软件 供 应 链 的 快 速 发 展,在 软 件 供 应 链 开发 环 节 引 入 的 开 源 软 件 也 成 为 攻 击 者 的主 要 目 标,开 源 软 件 带 来 的 安 全 威 胁 正在 爆 发。本 文 主 要 将 开 源 软 件 供 应 链 的安全问题总结为以下3个方面。第 一,开 源 软 件 安 全 漏 洞 高 发。根据“奇 安 信 开 源 项 目 检 测 计 划”2 0 2 1
9、年 对1 7 8 0个 开 源 软 件 项 目 超 过1.6亿行 代 码 的 安 全 检 测 结 果4,平 均 每1 0 0 0行 开 源 代 码 存 在1 6.1 1个 安 全 缺陷,包 括0.9 9个 高 危 缺 陷。新 思 科 技(S y n o p s y s)公 司 发 布 的 2 0 2 2年 开源 安 全 和 风 险 分 析 报 告 也 显 示5,在被 审 计 的2 4 0 9个 代 码 库 中,有8 1%至少 包 含 一 个 公 开 开 源 漏 洞,4 9%至 少包 含 一 个 高 风 险 漏 洞。在 目 前 的 开 源 生态 中,开 源 软 件 的 安 全 漏 洞 问 题 普
10、 遍 存28|保密科学技术|2022 年 12 月特别策划在,安全性不容乐观。第 二,开 源 漏 洞 的 传 播 风 险 巨 大。开 源 软 件 的 依 赖 关 系 可 以 进 一 步 分 为 直接 依 赖 关 系 和 间 接 依 赖 关 系,直 接 依赖 关 系 是 指 在 开 发 代 码 中 直 接 调 用 开 源组 件,间 接 依 赖 关 系 是 指 在 开 发 代 码 中所 调 用 的 开 源 组 件 又 依 赖 着 其 他 的 开 源组 件。奇 安 信 代 码 安 全 实 验 室 的 调 查 结果 显 示4,M a v e n、N P M、N u g e t、P y p i、P a
11、c k a g i s t、R u b y g e m s等 主流 开 源 生 态 中 直 接 依 赖 数 大 于1 0 0 0的开 源 软 件 共 有1 0 6 8个,其 中 开 源 软 件junit:junit的直接依赖数排名第一,高达9 5 6 1 4个。一 旦 这 些 被 其 他 开 源 软 件广 泛 依 赖 的 开 源 组 件 中 存 在 安 全 漏 洞,安 全 漏 洞 就 会 沿 着 开 源 软 件 供 应 链 复 杂的 依 赖 关 系 网 络 迅 速 传 播 并 显 著 放 大,造 成 的 影 响 呈 现 爆 炸 式 的 特 点。同 时 可以 预 见,这 些 在 开 源 生 态
12、中 起 关 键 支 撑效 果 的 开 源 软 件 将 吸 引 着 越 来 越 多 的 攻击 者,而 复 杂 的 依 赖 层 级 关 系 也 增 加 了安 全 漏 洞 的 溯 源 难 度,为 开 源 软 件 供 应链的安全防御工作带来了重大挑战。第 三,开 源 软 件 供 应 链 的 运 维 情 况不 容 乐 观。一 方 面,从 开 源 代 码 开 发者 的 角 度,新 思 科 技 公 司 在 被 审 计 的2 4 0 9个 代 码 库 中 发 现8 8%存 在 过 去 两年 内 没 有 发 生 过 任 何 开 发 活 动 的 开 源 组件5,这 很 可 能 意 味 着 这 些 开 源 项 目
13、已经 不 再 被 维 护。同 时,目 前 最 受 欢 迎 的开 源 项 目 几 乎 都 是 由 少 数 贡 献 者 进 行 开发 和 维 护5,这 可 能 导 致 大 量 开 源 项 目缺 少 正 规 的 安 全 漏 洞 管 理 和 披 露 流 程,甚 至 难 以 及 时 修 复 漏 洞。另 一 方 面,从开 源 代 码 使 用 者 的 角 度,与 闭 源 软 件 不同,开 源 软 件 几 乎 不 会 把 补 丁 更 新 或 升级 包 自 动 推 送 给 使 用 者,而 是 需 要 使 用者 主 动 了 解 更 新 版 本 并 进 行 人 工 安 装,这 会 直 接 导 致 开 源 生 态 中
14、 使 用 老 旧 版 本开 源 组 件、漏 洞 修 复 工 作 滞 后 的 现 象 十分普遍。4 开源软件供应链面临的安全风险随 着 开 源 软 件 供 应 链 的 安 全 问 题 日益 凸 显,攻 击 者 们 一 方 面 积 极 寻 找 开 源软 件 中 的 安 全 缺 陷,实 施 开 源 漏 洞 利用 攻 击;另 一 方 面 更 加 主 动 地 通 过 各 种手 段 把 安 全 缺 陷 引 入 全 球 开 源 软 件 供应 链 中。根 据S o n a t y p e公 司 的 调 查 结果2,2 0 2 1年 全 球 开 源 软 件 供 应 链 攻击 相 比2 0 2 0年 增 加 了6
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 软件 供应 安全 分析 防范 对策 天亮
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【自信****多点】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【自信****多点】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。