聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

专栏·供应链安全

数字化时代，软件无处不在。软件如同社会中的“虚拟人”，已经成为支撑社会正常运转的最基本元素之一，软件的安全性问题也正在成为当今社会的根本性、基础性问题。

随着软件产业的快速发展，软件供应链也越发复杂多元，复杂的软件供应链会引入一系列的安全问题，导致信息系统的整体安全防护难度越来越大。近年来，针对软件供应链的安全攻击事件一直呈快速增长态势，造成的危害也越来越严重。

为此，我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯，分析供应链安全风险，提供缓解建议，为供应链安全保驾护航。

注：以往发布的部分供应链安全相关内容，请见文末“推荐阅读”部分。

开源软件无处不在，已成为技术创新的极大助推力，因为使用开源软件的组织机构无需为常用的软件组件重复发明轮子。

然而，开源软件的普遍性也带来重大的安全风险，因为它为引入漏洞敞开大门（无意或有意）。最近匆忙修复 Log4j 代码库中的漏洞就证明了必须解决开源软件环境中的风险。

开源备受网络犯罪分子青睐

开源攻击方法备受恶意人员关注，因为这种攻击方法可广泛传播且效率高。攻击者可使用多种方法混淆对开源项目执行的恶意变更，审计代码安全的严格程度在不同的项目之间差距非常大。没有检测这些恶意变更的严格控制，则这些恶意变更可能不会得到关注，从而被发布到不同企业的软件中。

针对开源代码的攻击规模和实体不尽相同。例如，去年7月份，研究人员发现三个开源项目即 EspoCRM、Pimcore 和 Akaunting 受9个漏洞影响，而这些项目尝用于中小企业中。另外，2017年发生的 Equifax 数据安全事件正是因该公司的开源代码漏洞引发的，影响1.47亿名人员。

永不停歇

CISA 指出，数亿台设备可能遭Log4j 漏洞影响。鉴于该事件的重大影响，很多企业可能在分析是否应在未来开发工作中使用开源代码。

然而，完全不用开源并不现实。所有现代软件都基于开源组件构建而成，不使用开源重构这些组件将导致生产小型应用程序也需要投入大量时间和金钱。全球超过60%的网站都在 Apache 和 Nginx 服务器上运行，90%的IT负责任据称都经常使用开源代码。

测试并保护软件

我们无法避免使用开源，更现实的方法是安全和软件团队协同开发测试应用程序和软件组件的策略和流程。组织机构应将它视作由三部分组成的流程。它要求扫描并测试代码、设立解决并修复漏洞的明确流程、创建内部策略，设立解决安全问题的规则。

在通过工具测试开源环境的弹性时，静态代码分析是第一步。不过组织机构必须了解这只是测试的第一层。静态分析即在实际软件应用或程序上市之前分析源代码并解决任何所发现的漏洞。然而，静态分析无法检测出嵌入开源代码中的所有恶意威胁。另外，第二部应该是在沙箱环境中进一步测试。严格的代码审计、动态代码分析和单元测试也是一种选择（动态分析指的是在软件程序运行过程中进行审查，从而找到漏洞）。

扫描完成后，组织机构必须具有明确流程来解决一发现漏洞。开发人员可能会面临最后期限，或者软件补丁可能要求重构整个程序并定好时间表。这个流程应该可帮助开发人员通过明确给出解决漏洞和缓解漏洞措施的方法，保护组织机构的安全。

策略变更的步骤应该规划之后如何制定所有策略以及在整个流程中应该明确参与的利益相关者。另外，组织机构可为开源组件执行多种控制，如认证和鉴定程序。然而，需要了解的是它将增加其它管理费用并拖慢开源项目的开发。

保护开源代码免受未来攻击

整个行业都在关注未来保护开源代码的需求。Linux 基金会在去年10月份和其它行业领导者募集1000万美元资金，识别并修复开源软件中的漏洞并开发改进工具、培训、研究和漏洞披露实践。

除了行业保护基于开源代码的软件免受网络威胁外，组织机构必须采取主动的防御战略，包括为自己编写的代码和开源代码执行测试和控制程序。同时，组织机构必须开发内部策略和指南，识别使用开源软件的风险并识别用于管理该风险的控制。这样做将使他们在利用开源代码的同时创建能够弹性应对未来攻击的环境。

代码卫士试用地址：https://codesafe.qianxin.com/#/home

开源卫士试用地址：https://oss.qianxin.com

推荐阅读

在线阅读版：《2021中国软件供应链安全分析报告》全文

谷歌宣布 Linux Kernel、Kubernetes 0day 漏洞奖励加倍

Apache Cassandra 开源数据库软件修复高危RCE漏洞

2021年软件供应链攻击数量激增300%+

热门开源CMS平台 Umbraco 中存在多个安全漏洞，可使账户遭接管

详细分析开源软件项目 Ajax.NET Professional 中的RCE 漏洞（CVE-2021-23758）

SAP 严重漏洞可导致供应链攻击

Apache PLC4X开发者向企业下最后通牒：如不提供资助将停止支持

Apache 软件基金会：顶级项目仍使用老旧软件，补丁作用被削弱

美国商务部发布软件物料清单 (SBOM) 的最小元素（上）

美国商务部发布软件物料清单 (SBOM) 的最小元素（中）

美国商务部发布软件物料清单 (SBOM) 的最小元素（下）

NIST 发布关于使用“行政令-关键软件”的安全措施指南

NIST 按行政令关于加强软件供应链安全的要求，给出“关键软件”的定义及所含11类软件

SolarWinds 攻击者再次发动供应链攻击

美国“加强软件供应链安全实践的指南” (SSDF V1.1草案) 解读来了

软件供应链安全现状分析与对策建议

“木马源”攻击影响多数编程语言的编译器，将在软件供应链攻击中发挥巨大作用

GitHub 在 “tar” 和 npm CLI 中发现7个高危的代码执行漏洞

流行的 NPM 包依赖关系中存在远程代码执行缺陷

速修复！热门npm 库 netmask 被曝严重的软件供应链漏洞，已存在9年

Npm 恶意包试图窃取 Discord 敏感信息和浏览器文件

微软“照片”应用Raw 格式图像编码器漏洞 (CVE-2021-24091)的技术分析

SolarWinds 供应链事件后，美国考虑实施软件安全评级和标准机制

找到软件供应链的薄弱链条

GitHub谈软件供应链安全及其重要性

揭秘新的供应链攻击：一研究员靠它成功入侵微软、苹果等 35 家科技公司

开源软件漏洞安全风险分析

开源OS FreeBSD 中 ftpd chroot 本地提权漏洞 (CVE-2020-7468) 的技术分析

集结30+漏洞 exploit，Gitpaste-12 蠕虫影响 Linux 和开源组件等

限时赠书|《软件供应链安全—源代码缺陷实例剖析》新书上市

热门开源CI/CD解决方案 GoCD 中曝极严重漏洞，可被用于接管服务器并执行任意代码

GitKraken漏洞可用于盗取源代码，四大代码托管平台撤销SSH密钥

因服务器配置不当，热门直播平台 Twitch 的125GB 数据和源代码被泄露

彪马PUMA源代码被盗，称客户数据不受影响

原文链接

https://www.darkreading.com/vulnerabilities-threats/3-critical-software-development-security-trends-and-best-practices

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

 觉得不错，就点个 “在看” 或 "赞” 吧~