您当前的位置:首页 > 电脑百科 > 安全防护 > 资讯

2023年十大开源安全和运营风险

时间:2023-04-02 11:55:28  来源:  作者:嘶吼RoarTalk

近日,促进开源软件安全和维护的软件公司Endor Labs发布了一份报告,揭示了许多软件公司依赖于开源代码,但在如何衡量和处理与开源代码软件相关的风险和漏洞方面却缺乏一致性。同时,该报告还确定了2023年开源软件的十大安全和运营风险。

根据Endor Labs的说法,对开源软件的过度依赖已经涉及一些已知的漏洞,被捕获为常见漏洞和暴露(CVE);这些漏洞经常被忽视,如果不修复,可能会被攻击者利用。

Endor Labs的首席安全研究员Henrik Plate表示,“开源软件对应用程序开发者来说是一座‘金矿’,但它需要同样有效的安全能力。数据显示,一个新应用程序中超过80%的代码可能来自现有存储库,这种环境显然存在严重的风险。”


2023年顶级开源风险

1. 已知的漏洞

报告显示,开源组件版本可能包含由开发人员意外引入的易受攻击的代码。该漏洞可以在下游软件中被利用,可能会危及系统及其数据的机密性、完整性或可用性。

2. 受损的合法包

根据Endor的报告,攻击者可以针对现有项目或分发基础设施中的合法资源,将恶意代码注入组件。例如,他们可以劫持合法项目维护者的帐户或利用包存储库中的漏洞。这种类型的攻击可能是危险的,因为恶意代码可以作为合法包的一部分分发,并且很难检测到。

3. 名称混淆攻击

攻击者可以创建具有类似合法开源或系统组件名称的组件。Endor Labs的报告显示,这可以通过以下方式实现:

拼写错误(Typo-squatting):攻击者创建的名称是原始组件名称的错误拼写;

品牌劫持(Brand-jacking):攻击者滥用品牌或软件组件的知名度或声誉;

组合抢注(Combo-squatting):攻击者利用不同语言或生态系统中的通用命名模式。

这些攻击都滥用了已知合作伙伴生态系统内的信任,并利用了品牌或软件组件的知名度或声誉,旨在将恶意代码向上游推送到与品牌相关联的受信任代码库,然后将其下游分发到最终目标:该品牌的合作伙伴、客户或用户等。

4. 缺乏维护的软件

根据Endor Labs的报告,未维护的软件属于运营问题。组件或组件的版本可能不再被积极开发,这意味着针对功能性和非功能性错误的补丁可能不会被原始开源项目及时提供或根本不提供。这可能使软件容易受到针对已知漏洞的攻击者的利用。

5. 过时的软件

为了方便起见,有些开发人员会在有更新版本时使用某个代码库的过时版本。这可能导致项目错过重要的错误修复和安全补丁,使其容易被攻击者利用。

6. 无路径的依赖项

项目开发人员可能没有意识到组件的依赖项,原因如下:

它不是上游组件的软件材料清单(SBOM)的一部分;

软件组成分析工具没有运行或没有检测到它;

依赖项不是使用包管理器建立的,这可能会导致安全问题,因为未跟踪依赖项中的漏洞可能不会被注意到。

7. 许可证和监管风险

组件或项目可能没有许可证,或可能有与预期用途不兼容的许可证,或其需求没有或不能满足的许可证。

按照许可条款使用组件是至关重要的。如果不这样做,例如使用没有许可证或不遵守其条款的组件,可能会导致版权或许可证侵权。在这种情况下,版权方有权采取法律行动。

此外,违反法律和监管要求可能会限制或阻碍针对特定行业或市场的能力。

8. 不成熟的软件

开源项目可能并非遵循开发最佳实践,例如使用标准版本控制方案,拥有回归测试套件,或拥有评审指南或文档。这可能导致开源组件不可靠或不安全地运行,使其容易被攻击者利用。

依赖于不成熟的组件或项目可能会带来重大的运营风险。例如,依赖于它的软件可能无法正常运行,从而导致运行时可靠性问题。

9. 未经批准的更改(可变的)

当使用在不同时间下载且不能保证相同的组件时,会存在重大的安全风险。Codecov Bash Uploader等攻击就证明了这一点,在这种攻击中,下载的脚本直接通过管道传输到Bash,而无需事先验证其完整性。可变组件的使用也会对软件构建的稳定性和可重复性造成威胁。

10. 过度/不足的依赖性

Endor报告指出,对组件的过度依赖或不足依赖可能也是一种运营风险。例如,较小的组件,例如那些只包含几行代码的组件,与较大的组件一样容易遭受相同的风险。这些风险包括帐户接管、恶意拉取请求以及持续集成和持续开发管道漏洞。

另一方面,大型组件可能积累了许多标准用例不需要的特性。这些特性增加了组件的攻击面,并可能引入未使用的依赖项,导致组件膨胀。


风险缓解建议

以下是Endor Labs关于软件开发人员和IT管理者如何降低这些开源风险的建议。

1. 定期扫描代码以发现受损包

防止合法包被破坏是一个复杂的问题,因为没有万能的解决方案。为了解决这个问题,组织可以参考新兴的标准和框架,如OpenSSF安全供应链消费框架(S2C2F)。组织可以根据自己特定的安全需求和风险承受能力,选择最适合自己需求的安全措施并确定优先级。

2. 检查项目是否遵循开发最佳实践

为了评估一个项目的质量,有必要检查它的文档和发布说明的完整性和及时性。寻找指示测试覆盖率或可以检测回归的CI/CD管道存在的标识。

此外,组织可以通过检查活跃维护者和贡献者的数量、发布新版本的频率、以及打开和关闭的问题和拉取请求的数量来评估项目。查找关于项目维护或支持策略的信息也是至关重要的——例如,长期支持版本的存在和日期。

3. 保持依赖项处于最新状态

为了确保代码的安全性,检查代码和项目的特征是很重要的。要检查的代码特征示例包括安装前和安装后hook和编码的有效负载。对于项目特征,要考虑源代码存储库、维护者帐户、发布频率和下游用户的数量。

保持依赖项更新的一种方法是使用带有更新建议的工具来生成合并或拉取请求。同样重要的是,要优先考虑依赖项更新和重复的待办事项。

4. 评估和比较软件组成分析工具

安全团队应该确保软件组成分析(SCA)工具能够在粗粒度级别(如借助Maven或npm等包管理工具声明的依赖关系)和细粒度级别(如不使用包管理器而包含“带外”的单个文件等工件)上生成准确的材料清单。

5. 使用符合开源许可条款的组件

IT领导者应该确保他们的软件开发人员避免在没有许可证的情况下使用开源组件,因为这可能会带来法律风险。为了确保遵从性并避免潜在的法律问题,为软件开发中使用的组件确定可接受的许可是很重要的。

需要考虑的因素包括组件的链接方式、部署模型和预期的分发方案。一旦确定了可接受的许可证,就要遵守这些开源许可证中规定的要求。

参考及来源:https://www.techrepublic.com/article/top-open-source-security-risks/



Tags:安全   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,不构成投资建议。投资者据此操作,风险自担。如有任何标注错误或版权侵犯请与我们联系,我们将及时更正、删除。
▌相关推荐
网络安全行业的春天何时来?
2023年下半年开始,网络安全从业人员都感受到了网安行业的寒冬,但是其实前奏并不是此刻,只是涉及到大量裁员关乎自身而人人感同身受。从近五年各个网络安全上市公司财报可以发现...【详细内容】
2024-04-11  Search: 安全  点击:(1)  评论:(0)  加入收藏
微软被点名批评:34 页报告称其安全措施不到位
IT之家 4 月 10 日消息,美国网络安全审查委员会(CSRB)近日发布了 34 页安全报告,点名批评微软安全措施不够到位,导致来自美国 22 个组织、影响 500 多人的电子邮件被泄露。该安全...【详细内容】
2024-04-10  Search: 安全  点击:(3)  评论:(0)  加入收藏
访问网站显示不安全是什么原因?怎么解决?
访问网站时显示“不安全”,主要原因以及解决办法: 1.没用HTTPS加密:网站还在用老的HTTP协议,数据传输没加密,容易被人偷看或篡改。解决办法是网站管理员启用HTTPS,也就是给网站装...【详细内容】
2024-04-08  Search: 安全  点击:(7)  评论:(0)  加入收藏
数据可视化在网络安全中的关键作用
在当今数字化时代,网络安全已成为各大企业乃至国家安全的重要组成部分。随着网络攻击的日益复杂和隐蔽,传统的网络安全防护措施已难以满足需求,急需新型的解决方案以增强网络防...【详细内容】
2024-03-29  Search: 安全  点击:(19)  评论:(0)  加入收藏
被开通、被盗刷…… “免密支付”便捷背后存安全隐患
“免密支付”,便捷背后有安全隐患 伴随这一功能的迅速普及,与之相关的盗窃案件、乌龙事件屡见不鲜“我不知道什么时候开通的‘免密支付’功能,直到手机频繁收到账单...【详细内容】
2024-03-29  Search: 安全  点击:(13)  评论:(0)  加入收藏
美国联邦贸易委员会被曝即将以隐私安全为由,对TikTok下手
观察者网消息,美国政治新闻网“Politico”3月26日援引消息称,美国联邦贸易委员会(FTC)一直在调查TikTok涉嫌“存在隐私和数据安全问题”,并可能在未来几周内决定提起诉讼或与TikT...【详细内容】
2024-03-28  Search: 安全  点击:(12)  评论:(0)  加入收藏
从原理到实践:深入探索Linux安全机制
Linux 是一种开源的类Unix操作系统内核,由Linus Torvalds在1991年首次发布,其后又衍生出许多不同的发行版(如Ubuntu、Debian、CentOS等)。前言本文将从用户和权限管理、文件系统...【详细内容】
2024-03-27  Search: 安全  点击:(16)  评论:(0)  加入收藏
AI时代的网络安全:探索AI生成的网络攻击
译者 | 晶颜审校 | 重楼长期以来,网络攻击一直是劳动密集型的,需要经过精心策划并投入大量的人工研究。然而,随着人工智能技术的出现,威胁行为者已经成功利用它们的能力,以非凡的...【详细内容】
2024-03-27  Search: 安全  点击:(14)  评论:(0)  加入收藏
距实现全球安全量子通信更近一步:量子点源产生近乎完美纠缠光子对
转自:中国科技网科技日报记者 张梦然加拿大滑铁卢大学量子计算研究所(IQC)科学家汇集了两项诺贝尔奖的研究概念,从量子点源有效地产生了近乎完美的纠缠光子对。发表在《通...【详细内容】
2024-03-27  Search: 安全  点击:(33)  评论:(0)  加入收藏
网络安全--域名过滤功能详解
路由器的域名过滤功能是一种网络安全机制,允许管理员控制局域网内的设备对互联网上特定域名(即网站)的访问。这一功能主要用于家长控制、企业网络管理或者其它需要限制网络使用...【详细内容】
2024-03-26  Search: 安全  点击:(5)  评论:(0)  加入收藏
▌简易百科推荐
国家安全部:95后“技术宅”遇间谍网络勾连,共享国家级项目数据后次日举报获奖
国家安全部微信公众号3月25日发文介绍一起网勾案件,全文如下:2023年,某高新技术企业的青年设计师阿强,拨打国家安全机关12339举报受理电话称,某科技论坛上一名昵称“暗影Dark”的...【详细内容】
2024-03-25    观察者网  Tags:间谍   点击:(18)  评论:(0)  加入收藏
我国某高新企业遭境外网络勒索攻击,国安部发文谈如何防范
在信息化时代,网络犹如“神经系统”,网络安全出现问题,不仅影响社会稳定与经济发展,也会威胁到国家安全和利益。近年来,日益猖獗的境外网络勒索攻击,已成为我国网络安全“公害”。...【详细内容】
2024-03-21  国家安全部  微信公众号  Tags:网络勒索   点击:(23)  评论:(0)  加入收藏
《2024人工智能安全报告》:2023年AI深度伪造欺诈增长30倍
近日,奇安信集团发布《2024人工智能安全报告》(以下简称《报告》)。《报告》显示,2023年基于AI的深度伪造欺诈增长了3000%,基于AI的钓鱼邮件增长了1000%;目前已发现多个有国家背景的...【详细内容】
2024-03-18    环球网  Tags:人工智能安全   点击:(21)  评论:(0)  加入收藏
1300万次攻击!求职招聘类APP遭黑客攻击 个人信息被泄露
根据最新的央视新闻报道,一款求职招聘类APP的短信验证码接口在近期内遭到了1300多万次的攻击。经警方调查发现,这起事件是由两名嫌疑人所为,他们利用网站漏洞制造黑客软件,并通...【详细内容】
2023-12-11  中关村在线    Tags:黑客攻击   点击:(222)  评论:(0)  加入收藏
应对勒索病毒攻击!全网首个 “远控·勒索急救”功能上线
随着勒索病毒和远程控制软件的攻击事件频发,数据安全和隐私保护方面面临重大挑战。近日,360安全卫士推出了全网首个“远控·勒索急救”功能,旨在提供一个可靠的自行处置...【详细内容】
2023-12-08    大众网  Tags:勒索   点击:(192)  评论:(0)  加入收藏
勒索工行美国分行的LockBit是个什么组织?
来源:冰川思享号撰文丨刘远举11月8日,中国工商银行在美全资子公司——工银金融服务有限责任公司(ICBCFS),受到Lockbit勒索软件组织攻击。虽然ICBCFS表示,发现攻击后立即...【详细内容】
2023-11-26  冰川思享号    Tags:LockBit   点击:(323)  评论:(0)  加入收藏
国家安全部:美国2009年就开始入侵华为总部服务器
中新经纬9月20日电 国家安全部官方微信公众号20日发布《起底美国情报机关网攻窃密的主要卑劣手段》。全文如下:近日,中国国家计算机病毒应急处理中心通报,在处置西北工业大学遭...【详细内容】
2023-09-20    中新经纬  Tags:入侵   点击:(244)  评论:(0)  加入收藏
新证据!网攻西工大的神秘黑客身份被锁定,“间谍软件”是关键!
近日,国家计算机病毒应急处理中心和360公司对一款名为“二次约会”的间谍软件进行了技术分析,分析报告显示,该软件是美国国家安全局(NSA)开发的网络间谍武器。据了解,在国家计算...【详细内容】
2023-09-14    央视新闻客户端  Tags:黑客   点击:(271)  评论:(0)  加入收藏
恶意软件 AMOS 威胁升级:在谷歌搜索投放广告、钓鱼诱骗 Mac 用户安装
IT之家 9 月 7 日消息,网络安全公司 Cyble Research 今年 4 月发布报告,发现有黑客正在兜售针对 macOS 的恶意软件--Atomic macOS Stealer(AMOS)。网络安全公司 Malwarebytes 今...【详细内容】
2023-09-07    IT之家  Tags:恶意软件   点击:(295)  评论:(0)  加入收藏
英国专家:人工智能可通过键盘声窃取密码
《参考消息》日前刊登英国《泰晤士报》网站文章《人工智能可以通过聆听你敲击键盘的声音来窃取密码》,报道摘要如下:来自英国杜伦大学、萨里大学和伦敦大学皇家霍洛韦学院的专...【详细内容】
2023-08-14    新华社  Tags:密码   点击:(183)  评论:(0)  加入收藏
站内最新
栏目相关
  • · 国家安全部:95后“技术宅”遇间谍网络勾连,共享国家级项目数据后次日举报获奖
  • · 我国某高新企业遭境外网络勒索攻击,国安部发文谈如何防范
  • · 《2024人工智能安全报告》:2023年AI深度伪造欺诈增长30倍
  • · 1300万次攻击!求职招聘类APP遭黑客攻击 个人信息被泄露
  • · 应对勒索病毒攻击!全网首个 “远控·勒索急救”功能上线
  • · 勒索工行美国分行的LockBit是个什么组织?
  • · 国家安全部:美国2009年就开始入侵华为总部服务器
  • · 新证据!网攻西工大的神秘黑客身份被锁定,“间谍软件”是关键!
  • · 恶意软件 AMOS 威胁升级:在谷歌搜索投放广告、钓鱼诱骗 Mac 用户安装
  • · 英国专家:人工智能可通过键盘声窃取密码
  • · 数千名黑客齐聚拉斯维加斯 共同“围剿”ChatGPT等AI应用
  • · 大运会正赛期间拦截网络攻击1596万次
  • · 重磅!黑客破解特斯拉自动驾驶套餐功能,价值高达15000美元,下周公开!
  • · 报告称黑客滥用LOLBAS,通过微软Office安装包分发恶意软件
  • · 7月黑客不停歇 各类安全事件涉及的总金额达4.15亿美元
  • · 利用互联网作恶,美国“阴招”用尽
  • · 警惕,“高仿”邮箱骗局!“黑客”入侵互换两个字母,50万美元险被“劫”走
  • · 中美黑客大决战:8万中国网民席卷欧美,白宫升起五星红旗
  • · 2023年十大开源安全和运营风险
  • · 识破网络钓鱼企图的10个方法
  • 站内热门
    站内头条