穿越「攻击常态化」迷雾,这份报告直击「中国软件供应链安全」的真实面貌
近一年,软件供应链安全领域演绎了一曲曲冰与火之歌。
一曲是重金属摇滚:黑客的攻击杀伤力不减,密集度递增。
一曲是婉转忧思:软件供应链安全,各国不同领域心有戚戚。
SolarWinds的APT攻击、35家大型科技公司的依赖混淆攻击、互联网使用率达79.2%的PHP攻击、Codecov供应链攻击。
上到专业的网络安全软件产品供应商,下到微软、苹果、Paypal、特斯拉等科技巨头,皆中招。
近半年,软件供应链攻击几乎在每个月爆发,越来越复杂的软件开发工具链下,未来的攻击会更多。
在这种背景下,6月2日,奇安信集团发布《2021中国软件供应链安全分析报告》,对国内软件供应链各个环节的安全风险,进行了深入细致的研究和解读。
这份报告,来得恰逢其时。
它关乎每个人的生命安全、财产安全,关乎国家、社会不同层面安全。
软件供应链安全,我们不再陌生,也不应该陌生。
击一发而连全身
"吃了不好的食品会生病,用了不好的软件会被攻击。"
奇安信集团代码安全事业部总经理、代码安全实验室主任黄永刚的这个例子非常形象。
"牛奶从奶农、奶站到车间,各个环节都可能导致原材料被污染,造成食品安全问题。同样,软件供应链可划分为开发、交付、运行三个大的环节,每个环节都可能会引入供应链安全风险从而遭受攻击,上游环节的安全问题会传递到下游环节并被放大。"
奇安信集团代码安全事业部总经理、代码安全实验室主任黄永刚
如果细化整个过程,软件供应链涉及规划设计、开发集成、分发部署、运行维护、升级修复等等环节。
换言之,能够影响软件交付的一切因素和环节,都在软件供应链范围之内,当然,也在黑客攻击范围内。
黑客只需要在以上庞大的软件供应链基础设施中任一环节,通过人或系统的漏洞乘虚而入,并沿着供应链向后渗透,植入恶意程序或代码,或进行小规模的隐形攻击,或长期潜伏在目标系统中,就能如抽积木般,对整个计算机系统造成损害。
软件供应链攻击并非新兴事物。
早在1984年,图灵奖获得者、UNIX和C语言的发明人肯·汤普森(Ken Thompson)在其著名的《Reflections On TrustingTrust》中就讨论过这种攻击。
当今这个开源代码、开源软件无处不在的世界,也成为软件供应链攻击的盛宴,黑客的狂欢。
软件供应链安全中,很大一部分风险来自依赖关系。
比如源代码是软件的原始形态,位于软件供应链的源头,源代码安全是软件供应链安全的基础。
行业数据表明,99%的代码库中包含开源代码,85%至97%的企业代码库源自开源代码。
现代软件的源代码绝大多数是混源代码,由企业自主开发的源代码和开源软件代码共同组成,对源代码的依赖程度极深。
对于第三方或开源依赖关系中的漏洞,可能会在我们毫不知情的情况下成为恶意攻击缺口。
供应链中未修复的漏洞、无心之过或者对依赖关系的恶意攻击,因无法自主控制,无时无刻都处于潜在威胁之中。
而在当软件研发从作坊式发展到规模化生产模式时,软件规模越来越大,程序逻辑越来越复杂,对软件完整语义的理解及操作逻辑的把握越来越困难,设计缺陷、深层次漏洞更难以发现,后门更易于隐藏。
这些也使得软件供应链增添了"威胁对象种类多、极端隐蔽、涉及纬度广、攻击成本低回报高、检测困难"等特性。
因此,当软件供应链攻击如覆巢出动,举目四望,损伤众多。
2020年12月,网络安全管理软件供应商SolarWinds遭遇国家级APT团伙供应链攻击,导致包括美国关基、军队、政府在内的18000多家客户全部受到影响,成为年度最严重的供应链安全事件。
此类攻击并非孤例,甚至愈演愈烈。
2021年5月12日,美国总统拜登发布了旨在改进美国网络安全局势的行政令。
这项行政令被称为美国联邦政府试图保护美国软件供应链安全采取的最强劲措施。
其中有项史无前例的规定:
要求向联邦政府出售软件的任何企业不仅提供应用程序,而且还必须提供软件物料清单 (SBOM),提供组成该应用程序组件的透明度。
这意味着,关于组成软件应用的成分(组件)清单,比如包含的开源和第三方的组件等信息都需在售卖给政府时提供。
另外,该行政令指示国防、公共卫生、信息和通信技术、能源、交通以及农产品和食品生产行业进行供应链风险评估,并在一年内提交商业/国土安全联合报告。
当恶意攻击频发,国外以政府之力推动安全道路向前时,一直以来软件供应链基础薄弱的中国,眼下具体形势如何?
木舟之下,巨鲨已现
奇安信早就意识到软件供应链安全,以日进一寸之力在该领域深耕多年。
奇安信代码安全实验室此次发布的《2021年中国软件供应链安全综合分析报告》,全面从开源软件生态发展状况、开源软件源代码安全状况、开源软件公开报告漏洞状况、开源软件活跃度状况等四个方面对2020年开源软件生态发展与安全状况进行综合分析。
揭开面纱,直面中国软件供应链安全的真实面貌。
而以下内容,是从业者理应知晓的行业现况。
1、每1000行代码就有超过10个安全缺陷。
报告显示,2020年全年,2001个国内企业自主开发的软件项目源代码中,检测的代码总量为335011173行,共发现安全缺陷3387642个,其中高危缺陷361812个,整体缺陷密度为10.11个/千行,高危缺陷密度为1.08个/千行。
开源软件的安全缺陷则更加密集。2020年全年,1364个开源软件项目中,代码总量为124296804行,共发现安全缺陷1859129个,其中高危缺陷117738个。2020年检测的1364个开源软件项目整体缺陷密度为14.96个/千行,高危缺陷密度为0.95个/千行。
2、超8成项目存在高危开源软件漏洞。
与企业自主编写的源代码相同,开源软件同样位于软件供应链的源头,且其源代码绝大多数是混源代码。
奇安信从两个层面回答这个问题:
一是国内企业在软件开发中是否使用以及使用了多少开源软件?
二是其使用的开源软件是否存在安全问题?
在奇安信代码安全实验室分析的2557个国内企业软件项目中,应用领域涉及政府、金融、能源等重要行业,无一例外,均使用了开源软件。
这100%的开源软件使用率,大大超出了软件项目管理者和程序员自身的认知。
要知道,由于开源软件之间的依赖关系错综复杂,且软件开发中依赖包的管理通常通过包管理器程序自动管理,软件开发者常常意识不到自己使用了数量巨大的开源软件,因此当某个开源软件曝出安全漏洞时,软件开发者常常"躺枪"而不自知,这中间隐含了巨大的软件供应链安全风险。
而且流行的开源软件被近1/4的软件项目使用,这些开源软件一旦出现安全漏洞,影响面甚广。
在2557个国内企业软件项目中,共检出168604个已知开源软件漏洞(涉及到4166个唯一CVE漏洞编号),平均每个软件项目存在66个已知开源软件漏洞,最多的软件项目存在1200个已知开源软件漏洞。
其中,存在已知开源软件漏洞的项目有2280个,占比高达89.2%;存在已知高危开源软件漏洞的项目有2062个,占比为80.6%;存在已知超危开源软件漏洞的项目有1802个,占比为70.5%。影响范围最大的开源软件漏洞为SpringFramework中的安全漏洞(漏洞编号为CVE-2020-5421),影响了44.3%的软件项目。
3、开源软件活跃度状况堪忧。
活跃度也是衡量开源软件安全性的一个重要维度。
不活跃的开源软件,无论是更新频率低或被废弃,一旦出现安全漏洞,难以得到及时的修复,安全风险很高。
而活跃的开源软件中,如果其版本更新发布的频率过高,同样会增加使用者运维的成本和安全风险。
报告发现,2020年,61.6%的开源软件项目处于不活跃状态,13000多个开源软件一年内更新发布超过100个版本。
4、18年前的老旧开源软件版本仍在被使用。
在开源软件运维风险层面,报告发现,其中,甚至18年前的老旧开源软件版本仍在被使用,且不少项目已无人维护,各个项目中开源软件使用的版本非常混乱,标准、升级情况都不一。
与此同时,开源软件的漏洞数量仍呈高速上涨的趋势。据奇安信代码安全实验室监测与统计,截至2020年底,CVE/NVD、CNNVD、CNVD等公开漏洞库中共收录开源软件相关漏洞41342个,其中5366个为2020年度新增漏洞。
行业所需之声
软件供应链安全威胁无处不在,它们专业性高、隐蔽性强、范围广。
这些都让网络安全这个乍看并不性感的行业,不出圈则已,一出圈即是影响甚广的大事件。
万物互联的今天,纵横交错的市场,已没有企业可独善其身。行业需要更多的声音、更大的力度,让行业内外意识到安全之重、之要。
撰写此次报告的代码安全实验室,是奇安信旗下专注于软件源代码安全分析技术、二进制漏洞挖掘技术研究与开发的团队,在行业具有多年的积累。
代码实验室曾多次向国家信息安全漏洞库 (CNNVD) 和国家信息安全漏洞共享平台(CNVD)报送原创通用型漏洞信息并获得表彰,也曾发现谷歌、微软、苹果、Oracle、Juniper、Adobe、Vmware、阿里云、华为、腾讯、滴滴等大型厂商和机构的数百个安全缺陷和漏洞,并获官方致谢和能力肯定。
在团队实力方面,国家信息安全漏洞库(CNNVD)特聘专家一名,多名成员入选微软全球TOP安全研究者、Oracle安全纵深防御计划贡献者等精英榜单。在Pwn2Own2017世界黑客大赛上,实验室成员还曾获得Master of Pwn破解大师冠军称号。
专业实力与时间磨砺下,这份报告通过信息高度凝练,已然清晰地展示了中国在软件供应链安全方面的各种问题:
基础薄弱、意识不足、开源漏洞风险、开源软件运维风险、活跃度状况......
在软件供应链安全潜在威胁之下,企业需要这样一份报告判断软件供应链安全的现状,了解潜在的市场风险,以此制定相关的战略规划。
投资机构,需要一份专业的研报,作为判断行业是否进入有价值的参考之一。
安全领域创业者,需要一份研究报告认识到自己的优劣势,改善资源配置,扬长避短。
《2021中国软件供应链安全分析报告》的发布,可谓正当其时。奇安信代码安全实验室的专家成员团队,保障了这份报告的含金量。
团体赛的征程
软件供应链安全问题是全球信息大国普遍面临的问题。
欧美显然从未停止寻找应对之法,美国在2009年发布《美国网络安全空间安全政策评估报告》,将ICT供应链安全提高到国家战略层面。
美国各大巨头也十分重视软件供应链安全并付诸行动。
比如微软曾于2002年1月发起了微软可信计算计划,推出微软安全开发生命周期,使安全成为设计、编码、测试软件产品的关键因素,并自主研制安全测试及分析自动化工具,明显提升了微软核心产品的安全性。
谷歌也高度重视软件供应链安全,建多支安全审计小组,研发分析检测工具,对自研软件和所采用的第三方构件,特别是开源构件进行严格的安全审计。
除IT公司巨头外,一些专业的安全公司和组织在供应链安全事件的发现与防护方面也功不可没。
中国正从网络大国迈向网络强国,但软件供应链安全推行力度远远不够:
国家层面,缺少体系化的制度和相关政策予以支持;行业层面,对软件供应链安全技术研发的投入不够;在社会层面,对软件供应链安全问题缺乏重视,未建立起相关工作机制。
一方面,数字化时代,无处不在的软件成为支撑社会正常运转的基本元素之一。另一方面,软件供应链已成为网络空间、攻防对抗的焦点,直接影响基础设施和重要信息系统的安全。
当无论是物理空间还是网络空间,都以供应链连接,这种广泛存在、体系庞大复杂且非常分散的供应链,关系每一个人和世界上每一个角落,这项系统工程也需要长期、持续投入,更需要各个层面的团体合作。
推荐系统
电脑公司Ghost Win8.1 x32 精选纯净版2022年7月(免激活) ISO镜像高速下载
语言:中文版系统大小:2.98GB系统类型:Win8电脑公司Ghost Win8.1x32位纯净版V2022年7月版本集成了自2022流行的各种硬件驱动,首次进入系统即全部硬件已安装完毕。电脑公司Ghost Win8.1x32位纯净版具有更安全、更稳定、更人性化等特点。集成最常用的装机软件,精心挑选的系统维护工具,加上绿茶独有
微软Win11原版22H2下载_Win11GHOST 免 激活密钥 22H2正式版64位免费下载
语言:中文版系统大小:5.13GB系统类型:Win11微软Win11原版22H2下载_Win11GHOST 免 激活密钥 22H2正式版64位免费下载系统在家用办公上跑分表现都是非常优秀,完美的兼容各种硬件和软件,运行环境安全可靠稳定。Win11 64位 Office办公版(免费)优化 1、保留 Edge浏览器。 2、隐藏“操作中心”托盘图标。 3、保留常用组件(微软商店,计算器,图片查看器等)。 5、关闭天气资讯。
Win11 21H2 官方正式版下载_Win11 21H2最新系统免激活下载
语言:中文版系统大小:4.75GB系统类型:Win11Ghost Win11 21H2是微软在系统方面技术积累雄厚深耕多年,Ghost Win11 21H2系统在家用办公上跑分表现都是非常优秀,完美的兼容各种硬件和软件,运行环境安全可靠稳定。Ghost Win11 21H2是微软最新发布的KB5019961补丁升级而来的最新版的21H2系统,以Windows 11 21H2 22000 1219 专业版为基础进行优化,保持原汁原味,系统流畅稳定,保留常用组件
windows11中文版镜像 微软win11正式版简体中文GHOST ISO镜像64位系统下载
语言:中文版系统大小:5.31GB系统类型:Win11windows11中文版镜像 微软win11正式版简体中文GHOST ISO镜像64位系统下载,微软win11发布快大半年了,其中做了很多次补丁和修复一些BUG,比之前的版本有一些功能上的调整,目前已经升级到最新版本的镜像系统,并且优化了自动激活,永久使用。windows11中文版镜像国内镜像下载地址微软windows11正式版镜像 介绍:1、对函数算法进行了一定程度的简化和优化
微软windows11正式版GHOST ISO镜像 win11下载 国内最新版渠道下载
语言:中文版系统大小:5.31GB系统类型:Win11微软windows11正式版GHOST ISO镜像 win11下载 国内最新版渠道下载,微软2022年正式推出了win11系统,很多人迫不及待的要体验,本站提供了最新版的微软Windows11正式版系统下载,微软windows11正式版镜像 是一款功能超级强大的装机系统,是微软方面全新推出的装机系统,这款系统可以通过pe直接的完成安装,对此系统感兴趣,想要使用的用户们就快来下载
微软windows11系统下载 微软原版 Ghost win11 X64 正式版ISO镜像文件
语言:中文版系统大小:0MB系统类型:Win11微软Ghost win11 正式版镜像文件是一款由微软方面推出的优秀全新装机系统,这款系统的新功能非常多,用户们能够在这里体验到最富有人性化的设计等,且全新的柔软界面,看起来非常的舒服~微软Ghost win11 正式版镜像文件介绍:1、与各种硬件设备兼容。 更好地完成用户安装并有效地使用。2、稳定使用蓝屏,系统不再兼容,更能享受无缝的系统服务。3、为
雨林木风Windows11专业版 Ghost Win11官方正式版 (22H2) 系统下载
语言:中文版系统大小:4.75GB系统类型:雨林木风Windows11专业版 Ghost Win11官方正式版 (22H2) 系统下载在系统方面技术积累雄厚深耕多年,打造了国内重装系统行业的雨林木风品牌,其系统口碑得到许多人认可,积累了广大的用户群体,雨林木风是一款稳定流畅的系统,一直以来都以用户为中心,是由雨林木风团队推出的Windows11国内镜像版,基于国内用户的习惯,做了系统性能的优化,采用了新的系统
雨林木风win7旗舰版系统下载 win7 32位旗舰版 GHOST 免激活镜像ISO
语言:中文版系统大小:5.91GB系统类型:Win7雨林木风win7旗舰版系统下载 win7 32位旗舰版 GHOST 免激活镜像ISO在系统方面技术积累雄厚深耕多年,加固了系统安全策略,雨林木风win7旗舰版系统在家用办公上跑分表现都是非常优秀,完美的兼容各种硬件和软件,运行环境安全可靠稳定。win7 32位旗舰装机版 v2019 05能够帮助用户们进行系统的一键安装、快速装机等,系统中的内容全面,能够为广大用户
相关文章
- 加强版 Captcha 让机器彻底蒙圈,正误验证码傻傻分不清
- Win8网络连接正常但无法上网怎么解决?
- 王者荣耀中墨子怎么出装?
- Chrome新版本修复CVE-2020-15999 0 day漏洞
- Sonos拿1.3亿美金给员工发福利,中国厂商要拿什么拼?
- 干货收藏!系统主机信息安全设计及防护策略
- 可牛影像设置本地和网络保存的操作方法
- Win7系统管理员Administrator账户不见了怎么办?
- WannaCry勒索病毒,企业文件安全保护的启蒙课
- 开源威胁情报平台路在何方?
- 智能硬件PICOOC:没有金刚钻,怎么揽得住烫手的2100万?
- 2021年勒索软件发展分析
- SpringSecurity系列之请求防火墙默认已开启
- Win10一周年更新正式版14393.576已修复无网络连接的问题
- 随着后COVID时代经济的发展,针对银行业的攻击激增
- Win10系统怎么设置网络接口跃点数提高上网速度?
- 安装WIN7后,如何对WIN7系统优化?
- 被勒索病毒加密的文件能恢复了!原理居然这么奇葩(附工具下载)
热门系统
- 1华硕笔记本&台式机专用系统 GhostWin7 32位正式旗舰版2018年8月(32位)ISO镜像下载
- 2深度技术 Windows 10 x86 企业版 电脑城装机版2018年10月(32位) ISO镜像免费下载
- 3雨林木风 Ghost Win7 SP1 装机版 2020年4月(32位) 提供下载
- 4电脑公司 装机专用系统Windows10 x86喜迎国庆 企业版2020年10月(32位) ISO镜像快速下载
- 5深度技术 Windows 10 x86 企业版 六一节 电脑城装机版 版本1903 2022年6月(32位) ISO镜像免费下载
- 6深度技术 Windows 10 x64 企业版 电脑城装机版2021年1月(64位) 高速下载
- 7新萝卜家园电脑城专用系统 Windows10 x64 企业版2019年10月(64位) ISO镜像免费下载
- 8新萝卜家园 GhostWin7 SP1 最新电脑城极速装机版2018年8月(32位)ISO镜像下载
- 9电脑公司Ghost Win8.1 x32 精选纯净版2022年5月(免激活) ISO镜像高速下载
- 10新萝卜家园Ghost Win8.1 X32 最新纯净版2018年05(自动激活) ISO镜像免费下载
热门文章
常用系统
- 1技术员联盟 GHOST WIN7 SP1 X86 极速体验版 V2015.10 (32位) 下载
- 2雨林木风 win11 最新稳定版 v2023.11系统最新免费下载
- 3深度系统 Win10 64位专业版 2004 v2023.10免费最新下载
- 4萝卜家园Ghost Win7 2020装机版64位 v2020.02免费下载
- 5风林火山Win10纯净版下载_风林火山Win10 64位专业版V2021.08
- 6Win10 LTSC 2022 精简纯净版下载_win10 LTSC 极度纯净版下载安装
- 7深度技术 win11 年度优秀版 v2023.01系统最新下载
- 8深度技术 GHOST WIN10 X86 中秋特别版 V2019.09 (32位) 下载
- 9深度技术 Windows 10 x64 企业版 电脑城装机版 版本1903 2021年10月(64位) 高速下载
- 10深度技术 GHOST WIN7 SP1 X64 极速体验版 V2014.10 下载