來(lái)源：【科學(xué)網(wǎng)】

代碼投毒、刪庫(kù)跑路，近年來(lái)，隨著軟件供應(yīng)鏈各個(gè)環(huán)節(jié)的攻擊事件頻頻出現(xiàn)，軟件供應(yīng)鏈安全問(wèn)題已經(jīng)成為了開(kāi)源生態(tài)建設(shè)非常重要的部分。

近日，中國(guó)科學(xué)院軟件研究所（以下簡(jiǎn)稱軟件所）智能軟件研究中心團(tuán)隊(duì)（以下簡(jiǎn)稱團(tuán)隊(duì)）基于開(kāi)源軟件供應(yīng)鏈重大基礎(chǔ)設(shè)施，實(shí)現(xiàn)了面向全網(wǎng)針對(duì)開(kāi)源生態(tài)“投毒”攻擊現(xiàn)象的持續(xù)監(jiān)測(cè)。團(tuán)隊(duì)在開(kāi)源軟件存儲(chǔ)庫(kù)惡意擴(kuò)展包檢測(cè)中，發(fā)現(xiàn)Python官方擴(kuò)展包倉(cāng)庫(kù)被惡意上傳了8個(gè)惡意包及707個(gè)被“投毒”成功的開(kāi)源項(xiàng)目。

開(kāi)源，既是數(shù)字化創(chuàng)新的動(dòng)力，也是軟件供應(yīng)鏈攻擊的目標(biāo)。所謂開(kāi)源生態(tài)“投毒”，指的是攻擊者利用軟件供應(yīng)商與最終用戶之間的信任關(guān)系，在合法軟件的開(kāi)發(fā)、傳播和升級(jí)過(guò)程中進(jìn)行劫持或篡改，從而達(dá)到非法目的的攻擊類型。

“投毒攻擊在開(kāi)源生態(tài)中是一個(gè)特有的現(xiàn)象，因?yàn)槠滏準(zhǔn)絺魅镜牟懊娣浅V，威脅也更大?！避浖芯繂T開(kāi)源軟件供應(yīng)鏈重大基礎(chǔ)設(shè)施技術(shù)負(fù)責(zé)人吳敬征表示。

當(dāng)前，有超過(guò)99%的商業(yè)軟件包含開(kāi)源軟件，一旦具有大規(guī)模用戶基礎(chǔ)的開(kāi)源軟件存在安全漏洞，勢(shì)必會(huì)影響整個(gè)軟件產(chǎn)業(yè)、甚至其他重要行業(yè)的供應(yīng)鏈安全。

正因如此，針對(duì)開(kāi)源軟件生產(chǎn)、分發(fā)、使用全過(guò)程的風(fēng)險(xiǎn)管理尤為重要，其中就包括開(kāi)源軟件安全檢測(cè)機(jī)制。

“開(kāi)源生態(tài)下，軟件數(shù)量非常龐大，同時(shí)單個(gè)軟件的代碼規(guī)模也很大。這就使得過(guò)去基于規(guī)則的檢測(cè)工具面臨著沉重的運(yùn)行負(fù)擔(dān)。而且，這些工具的檢測(cè)目標(biāo)比較寬泛，難以針對(duì)‘投毒’攻擊進(jìn)行精準(zhǔn)打擊。”吳敬征解釋。

為此，團(tuán)隊(duì)自主研發(fā)了一種新型的惡意包分析工具。在應(yīng)用于Python惡意包的檢測(cè)中，他們發(fā)現(xiàn)Python官方擴(kuò)展包倉(cāng)庫(kù)被上傳了8個(gè)惡意包，其中包含了惡意代碼，存在巨大的安全隱患，比如竊取隱私信息、數(shù)字貨幣密鑰、種植持久化后門、遠(yuǎn)程控制等一系列攻擊活動(dòng)。團(tuán)隊(duì)已經(jīng)把在Python平臺(tái)發(fā)現(xiàn)的8個(gè)惡意包上報(bào)給PyPI官方。

此外，對(duì)于第三方插入的代碼執(zhí)行后門的擴(kuò)展包的檢測(cè)，團(tuán)隊(duì)通過(guò)開(kāi)源軟件供應(yīng)鏈重大基礎(chǔ)設(shè)施的供應(yīng)鏈分析模塊進(jìn)行檢測(cè)。結(jié)果共發(fā)現(xiàn)了707個(gè)被“投毒”成功的開(kāi)源項(xiàng)目，其中85個(gè)發(fā)布在Python官方擴(kuò)展包倉(cāng)庫(kù)，622個(gè)發(fā)布在公共代碼托管平臺(tái)（Github、GitLab）。

目前，團(tuán)隊(duì)已將707個(gè)被“投毒”成功的開(kāi)源項(xiàng)目反饋給國(guó)家信息安全漏洞共享平臺(tái)（CNVD）、國(guó)家信息安全漏洞庫(kù)（CNNVD）等安全漏洞管理機(jī)構(gòu)，其中17個(gè)漏洞現(xiàn)已獲得正式編號(hào)。

為應(yīng)對(duì)開(kāi)源生態(tài)存在的風(fēng)險(xiǎn)，軟件所于2021年起聯(lián)合中科南京軟件技術(shù)研究院?jiǎn)?dòng)開(kāi)源軟件供應(yīng)鏈重大基礎(chǔ)設(shè)施，建設(shè)了國(guó)內(nèi)首個(gè)集開(kāi)源軟件采集存儲(chǔ)、開(kāi)發(fā)測(cè)試、集成發(fā)布、運(yùn)維升級(jí)等一體化設(shè)施。其主要功能包括開(kāi)源軟件供應(yīng)鏈關(guān)鍵節(jié)點(diǎn)分析、開(kāi)源軟件供應(yīng)鏈可靠構(gòu)建、開(kāi)源軟件可維護(hù)性分析、開(kāi)源軟件及其供應(yīng)鏈安全分析及開(kāi)源軟件合規(guī)性分析等。

開(kāi)源軟件供應(yīng)鏈重大基礎(chǔ)設(shè)施致力于支撐圍繞開(kāi)源軟件的基礎(chǔ)研究和產(chǎn)業(yè)創(chuàng)新，維護(hù)開(kāi)源生態(tài)健康發(fā)展，增強(qiáng)使用開(kāi)源的信心和貢獻(xiàn)開(kāi)源的能力，保障各行各業(yè)的高質(zhì)量開(kāi)源軟件供應(yīng)。

本文來(lái)自【科學(xué)網(wǎng)】，僅代表作者觀點(diǎn)。全國(guó)黨媒信息公共平臺(tái)提供信息發(fā)布傳播服務(wù)。

ID：jrtt