开源软件供应链安全分析与防范对策_芦天亮.pdf
蜗牛文库
-高品质阅读,高比例分成-
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,汇文网负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。
网站客服:3074922707
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,汇文网负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。
网站客服:3074922707
软件
供应
安全
分析
防范
对策
天亮
【摘 要】本文介绍了开源软件供应链的发展现状,从安全漏洞、传播风险、运维情况 3 个方面总结了开源软件供应链所存在的安全问题;基于 2021 年以来的重大安全事件,从开源漏洞利用和开源投毒攻击 2 个角度对开源软件供应链面临的风险进行分析;同时提出了在开源软件开发、分发和使用全生命周期各环节应采取的安全防范对策,以全面保障开源软件供应链安全。【关键词】开源软件供应链安全 开源投毒 漏洞利用 安全防范【中图分类号】TP311.13;TP309 【文献标识码】A1 引言数 字 化 时 代,软 件 定 义 世 界,也 是保 证 现 代 社 会 正 常 运 转 的 关 键 要 素。与此 同 时,开 源 协 作 模 式 已 成 为 软 件 产 业的 主 要 开 发 模 式,不 仅 能 够 实 现 人 类 智慧 共 享、提 高 软 件 开 发 效 率,而 且 正 在引 领 技 术 创 新 和 价 值 创 造,大 数 据、人工 智 能、云 计 算 等 新 兴 领 域 的 基 础 软 件均 是 基 于 开 源 模 式 进 行 研 发 的1。软 件的 开 源 化 势 不 可 挡,开 源 代 码 正 如 软 件世 界 的 道 路 和 桥 梁,重 要 性 与 日 俱 增。然而,自2021年以来愈加频发的开源 软 件 供 应 链 安 全 事 件,充 分 揭 露 出 在软 件 开 发 阶 段 引 入 开 源 代 码 这 一 做 法,在 提 高 开 发 效 率 的 同 时,也 带 来 了 巨 大的 安 全 隐 患。这 也 迅 速 引 发 了 全 球 学 术界 和 产 业 界 对 开 源 软 件 供 应 链 安 全 的 广开源软件供应链安全分析与防范对策 芦天亮 袁梦娇 /中国人民公安大学信息网络安全学院2022 年 12 月|保密科学技术|27特别策划泛 关 注。例 如,2 0 2 2年1月,A p a c h e基 金 会、谷 歌、苹 果、微 软 等 技 术 公司,以 及 美 国 商 务 部、国 防 部、网 络 安全 和 基 础 设 施 安 全 局 等 联 邦 机 构 共 同 参加 了 白 宫 开 源 软 件 安 全 峰 会;2 0 2 2年8月,黑 帽 大 会(B l a c k H a t 2 0 2 2)围绕“软 件 供 应 链 安 全”“开 源 网 络 风险”这2个 中 心 议 题 展 开 了 充 分 探 讨。开 源 软 件 供 应 链 安 全 成 为 当 前 网 络 空 间安全领域的焦点问题。2 开源软件供应链发展现状2.1 开源软件供应链体系日益庞大目 前,全 球 开 源 生 态 正 在 蓬 勃 发展,一 方 面,全 球 开 源 软 件 供 应 加 速,根 据 开 源 服 务 提 供 商S o n a t y p e的 统 计数 据2,2 0 2 1年 全 球 排 名 前 四 的 开 源生 态 系 统J a v a、J a v a S c r i p t、P y t h o n和.N E T共 发 布 了6 3 0 2 7 3 3个 新 版 本的 开 源 组 件 和7 2 3 5 7 0个 全 新 的 开 源 项目,年 环 比 增 加20%;另 一 方 面,全 球开 源 软 件 需 求 呈 现 爆 炸 式 增 长,2 0 2 1年 全 球 开 发 者 共 从 上 述4大 开 源 生 态 系统 请 求 了 超 过2.2万 亿 个 开 源 组 件,下载 量 同 比 增 长7 3%。随 着“到2 0 2 5年建 设23个 有 国 际 影 响 力 的 开 源 社 区,培 育 超 过1 0个 优 质 开 源 项 目”的 目 标被 写 入 “十 四 五”软 件 和 信 息 技 术 服务 业 发 展 规 划 ,我 国 的 开 源 软 件 将 在未 来 的35年 内 迎 来 高 速 发 展 阶 段3。2.2 开源软件供应链呈现网络型的特点传 统 情 况 下,基 于 软 件 生 产、交付、使 用/运 维 等 环 节 的 分 工 协 作 在 整体 上 形 成 了 一 条 线 性 的 软 件 供 应 链。然而,在 现 代 开 源 协 作 的 软 件 开 发 模 式下,一 方 面,大 部 分 系 统 软 件 和 应 用 软件 的 开 发 者 会 根 据 开 发 需 求 优 先 选 择 基于 开 源 代 码 进 行 修 改 和 拓 展;另 一 方面,第 三 方 开 源 组 件 的 开 发 者 也 会 通 过下 载 安 装 其 他 开 源 组 件 来 提 高 代 码 开 发的 效 率。因 此,最 终 发 布 的 软 件 通 常 依赖 大 量 的 开 源 组 件,而 这 些 开 源 组 件 又同 样 依 赖 其 他 的 开 源 组 件,从 而 形 成 复杂 的 依 赖 关 系 网 络。随 着 开 源 软 件 在 软件 供 应 链 各 环 节 中 的 渗 透 率 不 断 升 高,开 源 软 件 供 应 链 呈 现 出 网 络 型 的 新 特点,依赖、供应关系网络日益庞杂。3 开源软件供应链安全问题与 传 统 的 安 全 威 胁 不 同,软 件 供 应链 上 游 的 安 全 问 题 会 传 递 至 所 有 的 下 游环 节,从 而 造 成 广 泛 影 响。随 着 开 源 软件 供 应 链 的 快 速 发 展,在 软 件 供 应 链 开发 环 节 引 入 的 开 源 软 件 也 成 为 攻 击 者 的主 要 目 标,开 源 软 件 带 来 的 安 全 威 胁 正在 爆 发。本 文 主 要 将 开 源 软 件 供 应 链 的安全问题总结为以下3个方面。第 一,开 源 软 件 安 全 漏 洞 高 发。根据“奇 安 信 开 源 项 目 检 测 计 划”2 0 2 1年 对1 7 8 0个 开 源 软 件 项 目 超 过1.6亿行 代 码 的 安 全 检 测 结 果4,平 均 每1 0 0 0行 开 源 代 码 存 在1 6.1 1个 安 全 缺陷,包 括0.9 9个 高 危 缺 陷。新 思 科 技(S y n o p s y s)公 司 发 布 的 2 0 2 2年 开源 安 全 和 风 险 分 析 报 告 也 显 示5,在被 审 计 的2 4 0 9个 代 码 库 中,有8 1%至少 包 含 一 个 公 开 开 源 漏 洞,4 9%至 少包 含 一 个 高 风 险 漏 洞。在 目 前 的 开 源 生态 中,开 源 软 件 的 安 全 漏 洞 问 题 普 遍 存28|保密科学技术|2022 年 12 月特别策划在,安全性不容乐观。第 二,开 源 漏 洞 的 传 播 风 险 巨 大。开 源 软 件 的 依 赖 关 系 可 以 进 一 步 分 为 直接 依 赖 关 系 和 间 接 依 赖 关 系,直 接 依赖 关 系 是 指 在 开 发 代 码 中 直 接 调 用 开 源组 件,间 接 依 赖 关 系 是 指 在 开 发 代 码 中所 调 用 的 开 源 组 件 又 依 赖 着 其 他 的 开 源组 件。奇 安 信 代 码 安 全 实 验 室 的 调 查 结果 显 示4,M a v e n、N P M、N u g e t、P y p i、P a c k a g i s t、R u b y g e m s等 主流 开 源 生 态 中 直 接 依 赖 数 大 于1 0 0 0的开 源 软 件 共 有1 0 6 8个,其 中 开 源 软 件junit:junit的直接依赖数排名第一,高达9 5 6 1 4个。一 旦 这 些 被 其 他 开 源 软 件广 泛 依 赖 的 开 源 组 件 中 存 在 安 全 漏 洞,安 全 漏 洞 就 会 沿 着 开 源 软 件 供 应 链 复 杂的 依 赖 关 系 网 络 迅 速 传 播 并 显 著 放 大,造 成 的 影 响 呈 现 爆 炸 式 的 特 点。同 时 可以 预 见,这 些 在 开 源 生 态 中 起 关 键 支 撑效 果 的 开 源 软 件 将 吸 引 着 越 来 越 多 的 攻击 者,而 复 杂 的 依 赖 层 级 关 系 也 增 加 了安 全 漏 洞 的 溯 源 难 度,为 开 源 软 件 供 应链的安全防御工作带来了重大挑战。第 三,开 源 软 件 供 应 链 的 运 维 情 况不 容 乐 观。一 方 面,从 开 源 代 码 开 发者 的 角 度,新 思 科 技 公 司 在 被 审 计 的2 4 0 9个 代 码 库 中 发 现8 8%存 在 过 去 两年 内 没 有 发 生 过 任 何 开 发 活 动 的 开 源 组件5,这 很 可 能 意 味 着 这 些 开 源 项 目 已经 不 再 被 维 护。同 时,目 前 最 受 欢 迎 的开 源 项 目 几 乎 都 是 由 少 数 贡 献 者 进 行 开发 和 维 护5,这 可 能 导 致 大 量 开 源 项 目缺 少 正 规 的 安 全 漏 洞 管 理 和 披 露 流 程,甚 至 难 以 及 时 修 复 漏 洞。另 一 方 面,从开 源 代 码 使 用 者 的 角 度,与 闭 源 软 件 不同,开 源 软 件 几 乎 不 会 把 补 丁 更 新 或 升级 包 自 动 推 送 给 使 用 者,而 是 需 要 使 用者 主 动 了 解 更 新 版 本 并 进 行 人 工 安 装,这 会 直 接 导 致 开 源 生 态 中 使 用 老 旧 版 本开 源 组 件、漏 洞 修 复 工 作 滞 后 的 现 象 十分普遍。4 开源软件供应链面临的安全风险随 着 开 源 软 件 供 应 链 的 安 全 问 题 日益 凸 显,攻 击 者 们 一 方 面 积 极 寻 找 开 源软 件 中 的 安 全 缺 陷,实 施 开 源 漏 洞 利用 攻 击;另 一 方 面 更 加 主 动 地 通 过 各 种手 段 把 安 全 缺 陷 引 入 全 球 开 源 软 件 供应 链 中。根 据S o n a t y p e公 司 的 调 查 结果2,2 0 2 1年 全 球 开 源 软 件 供 应 链 攻击 相 比2 0 2 0年 增 加 了6 5 0%,呈 现 指 数级 增 长。本 文 结 合2 0 2 1年 以 来 爆 发 的重 大 开 源 软 件 供 应 链 安 全 事 件,对 开 源软 件 供 应 链 面 临 的 安 全 风 险 进 行 分 析。4.1 开源漏洞利用基 于 开 源 软 件 开 放 共 享 的 特 点,任何 组 织 都 能 够 对 开 源 代 码 进 行 分 析 研究,这 一 方 面 促 进 了 开 源 代 码 的 漏 洞 挖掘 工 作,但 在 另 一 方 面,开 源 组 件 中 被披 露 的 严 重 零 日(0D a y)漏 洞 会 吸 引大 量 攻 击 者 赶 在 企 业 修 复 漏 洞 之 前,利用 时 差 实 施 开 源 漏 洞 利 用 攻 击。例 如,2 0 2 1年1 2月,基 于J a v a的 日 志 记 录 开源 组 件A p a c h e L o g4j2被 曝 出 存 在 远程 代 码 执 行 漏 洞Log4Shell,国 家 信 息安 全 漏 洞 共 享 平 台(CNVD)对 其 综 合评 级 为“高 危”6。A p a c h e L o g4j2被 大 量 应 用 于 业 务 系 统 的 开 发,因 此 该漏 洞 对 开 源 软 件 供 应 链 下 游 的 影 响 非 常大,共 涉 及6万 多 个 流 行 开 源 软 件 和 全2022 年 12 月|保密科学技术|29特别策划球70%的 网 络 系 统,被 称 作“核 弹 级”漏 洞。根 据 美 国 网 络 安 全 和 基 础 设 施安 全 局(C I S A)发 布 的 2 0 2 1年 最 常被 利 用 的 漏 洞 报 告7,L o g4S h e l l漏洞 虽 然 在2 0 2 1年 底 才 被 曝 出,但 迅 速跃 升 至2 0 2 1年 最 常 被 利 用 漏 洞 之 首。同 时,虽 然A p a
