开源软件OSS是现代软件开发的基础,但也可能在软件供应链中带来潜在风险。以下是应用 OSS 时需关注的十大风险,以及如何安全使用这些组件的建议:
梯子加速器app已知漏洞合法软件包的被攻破名称混淆攻击不再维护的软件过时的软件未跟踪的依赖关系许可证和法规风险不成熟的软件未经批准的变更依赖项规模不当信用:Gorodenkoff / Shutterstock
对开源软件安全性及其使用方式的关注正在增加。近年来一些事件揭露出漏洞和风险,尤其是XZ Utils事件,显示出在广泛使用的 OSS 中被植入了后门。
如果没有及时发现,XZ Utils 可能是迄今为止影响最大的软件供应链泄露。尽管它的潜在影响没有Log4j事件那么广泛,但它再次提醒我们现代数字生态系统脆弱,必须改进使用和保护开源软件的方式。
应对这些事件,网络安全从业者正在寻找更多资源和指导,以成熟管理开源软件的使用, 比如开放网络应用安全项目OWASP的开源软件十大风险。OWASP 的十大风险由专注于安全使用 OSS 的 Endor Labs 创建,并得到了如 Palo Alto、HashiCorp 和 Citibank 等行业领军企业的支持。
OSS 组件可能包含已知漏洞,这些漏洞通常是软件开发者和维护者无意中引入的,后续被社区的安全研究人员披露。这些漏洞可在特定环境和应用中被利用。虽然这个问题似乎微不足道,但实际上却可能造成开发者工作中的重大困扰与挫败。
为了解决这一挑战,有诸如 CISA 的已知漏洞目录KEV和漏洞预测评分系统EPSS等努力。组织可以通过扫描漏洞、根据已知的利用情况和可达性分析对 OSS 组件的风险进行优先级排序。
恶意行为者了解到攻破合法软件包对于影响下游用户的价值。他们可以通过劫持项目维护者的账户或者利用软件包仓库中的漏洞等多种方式进行攻击。最近的 XZ Utils 事件中,攻击者假冒合法贡献者,在长期的时间内嵌入了后门。
为了缓解这种风险,建议使用新兴的资源和指导,例如微软的现已捐赠给 OpenSSF 的安全供应链消费框架S2C2F,此外,行业中还有几个类似的框架可供借鉴。
名称混淆攻击中,攻击者创建恶意组件,其名称类似于合法的 OSS 软件包,希望受害者无意中下载并使用这些组件。这种攻击形式在 CNCF 软件供应链攻击目录中也有记载,包括typosquatting 和品牌劫持。当这些被攻破的软件包被引入组织的 IT 环境时,可能会影响系统和数据的[机密性、完整性和可用性CIA](https//wwwcsoonline
