开源代码带来的10大安全和运营风险

Endor Labs 引入了OWASP风格的清单，列出了使用开源软件 (OSS) 中固有的最重要或影响最大的风险。

OSS 的使用实际上是免费的，而且随时可用——它满足了软件开发中对速度和低成本的商业需求。超过 80% 的现代应用程序代码来自 OSS 的情况并不少见，因此它会一直存在（至少在某些新技术可以提供更快但仍然便宜的软件开发之前）。

这里的问题是我们对我们使用的开源的来源知之甚少。它没有保证或 SLA；我们通常不知道这个开发工具的开发者；它可以在我们不知情的情况下引入重大安全风险（想想Log4J）。

Endor Labs 是一家总部位于加利福尼亚州帕洛阿尔托的初创公司，由 Dimitri Stiliadis（首席技术官）和 Varun Badhwar（首席执行官）于 2021 年创立，是一家专注于在商业应用程序开发中越来越多地使用 OSS 所包含的复杂性和威胁的公司。

其 Station 9 研究团队现已开发并发布了一份关于十大开源软件风险的报告。希望是为 OSS 效仿OWASP Top Ten 为 Web 应用程序安全提供的内容。它按严重程度列出了十个最重要的风险（安全和/或操作），提供了描述、示例、补救措施和进一步的参考来源。与 OWASP 列表一样，它将随着个别风险的变化或严重程度被新风险取代而得到维护。

不出所料，当前排名第一的风险是“已知漏洞”。Endor 描述指出，“组件版本可能包含易受攻击的代码，由其开发人员意外引入。漏洞详细信息已公开，例如通过 CVE。漏洞利用和补丁可能可用也可能不可用。” 这里值得注意的是 Rapid7 的研究指出，56% 的 CVE 漏洞在公开披露后的 7 天内被利用。

其余九种风险是：

• 合法包的妥协，例如，攻击者可能会注入恶意代码以利用供应链攻击该代码的用户

• 名称混淆攻击，类似于基于 Web 的攻击中的拼写错误抢注

• 未维护的软件，其中的组件可能在不知不觉中不再得到维护或支持

• 过时的软件，即使可能有更新的版本，但仍在使用旧版本，

• 未跟踪的依赖项，可能是因为它不是上游 SBOM 的一部分

• 许可证和监管风险，例如，许可证可能与下游消费者的预期用途不相容

• 不成熟的软件，OSS项目开发可能不符合开发最佳实践

• 未经批准的更改，组件可能在开发人员不知情的情况下更改

• 依赖性过小或过大，在后一种情况下，组件可能会提供很多功能，但只能使用其中的一小部分

当然，OSS 风险远不止十种。“如果情况发生变化，我们可能至少每年都会更新这份名单。几年，什么都不会改变；几年之后，”Badhwar 告诉SecurityWeek。

您可能认为引入 SBOM 是为了为应用程序开发人员解决这些问题，但 SBOM 几乎是独一无二的，它是一项领先于行业实践而不是落后于行业实践的法规。“业界还没有为 SBOM 做好准备，”Badwahr 说。自动生成通常不准确且不完整。“如果我们要转向使用 SBOM 作为我们风险分析的无可争议的事实来源，我们需要解决这些问题。今天情况并非如此。”

尽管 OSS 生态圈对许多正在使用的商业应用程序很重要，但它的脆弱性也值得考虑。Badwahr 指向 Core-JS。“Core-JS 是互联网的基石。选择任何互联网应用程序，你都可以确定它使用了 Core-JS。”

但是 Core-JS 由俄罗斯的 Denis Pushkarev 维护。他靠它过着相对微薄的生活——直到现在。西方对俄罗斯的财政捐助受到了西方货币制裁的打击。根据 The Stack 的一份报告，他被迫考虑替代方案，包括将其封闭源代码和商业化。 

事实上，OSS 生态圈的可持续性取决于其贡献者的可持续性，而这与地缘政治的未来一样难以预测。Endor 希望对主要 OSS 风险的列举能够帮助应用程序开发人员将注意力集中在使用开源软件所涉及的风险上——包括突然无人维护的软件（风险 #4）。

编译自：安全周刊

1. >>>等级保护<<<
2. 
   
   网络安全等级保护：什么是等级保护？
   
   
3. 开启等级保护之路：GB 17859网络安全等级保护上位标准
4. 回看等级保护：重要政策规范性文件43号文（上）

5. 网络安全等级保护实施指南培训PPT
   

6. 网络安全等级保护安全物理环境测评培训PPT
   

7. 网络安全等级保护：等级保护测评过程要求PPT

8. 网络安全等级保护：安全管理中心测评PPT
   

9. 网络安全等级保护：安全管理制度测评PPT
   

10. 网络安全等级保护：定级指南与定级工作PPT
    

11. 网络安全等级保护：云计算安全扩展测评PPT
    

12. 网络安全等级保护：工业控制安全扩展测评PPT
    

13. 网络安全等级保护：移动互联安全扩展测评PPT

14. 网络安全等级保护：第三级网络安全设计技术要求整理汇总
15. 网络安全等级保护：等级测评中的渗透测试应该如何做
16. 网络安全等级保护：等级保护测评过程及各方责任
17. 网络安全等级保护：政务计算机终端核心配置规范思维导图

18. 网络安全等级保护：信息技术服务过程一般要求
    

20. 网络安全等级保护：浅谈物理位置选择测评项

21. 闲话等级保护：网络安全等级保护基础标准（等保十大标准）下载
22. 闲话等级保护：什么是网络安全等级保护工作的内涵？
23. 闲话等级保护：网络产品和服务安全通用要求之基本级安全通用要求
    
24. 闲话等级保护：测评师能力要求思维导图
    
25. 闲话等级保护：应急响应计划规范思维导图
    
26. 闲话等级保护：浅谈应急响应与保障
    
27. 闲话等级保护：如何做好网络总体安全规划
    
28. 闲话等级保护：如何做好网络安全设计与实施
    
29. 闲话等级保护：要做好网络安全运行与维护
    
30. 闲话等级保护：人员离岗管理的参考实践

31. 信息安全服务与信息系统生命周期的对应关系

32. 
    

33. >>>工控安全<<<
34. 
    
35. 工业控制系统安全：信息安全防护指南
36. 工业控制系统安全：工控系统信息安全分级规范思维导图
37. 工业控制系统安全：DCS防护要求思维导图
38. 工业控制系统安全：DCS管理要求思维导图
39. 工业控制系统安全：DCS评估指南思维导图
40. 工业控制安全：工业控制系统风险评估实施指南思维导图
41. 工业控制系统安全：安全检查指南思维导图（内附下载链接）
42. 工业控制系统安全：DCS风险与脆弱性检测要求思维导图
43. 
    
44. >>>数据安全<<<

45. 数据治理和数据安全

46. 数据安全风险评估清单

47. 成功执行数据安全风险评估的3个步骤

48. 美国关键信息基础设施数据泄露的成本

49. 备份：网络和数据安全的最后一道防线

50. 数据安全：数据安全能力成熟度模型

51. 数据安全知识：什么是数据保护以及数据保护为何重要？

52. 信息安全技术：健康医疗数据安全指南思维导图

53. 金融数据安全：数据安全分级指南思维导图

54. 金融数据安全：数据生命周期安全规范思维导图
    

55. 
    

56. >>>供应链安全<<<

57. 美国政府为客户发布软件供应链安全指南
    

58. OpenSSF 采用微软内置的供应链安全框架
    

59. 供应链安全指南：了解组织为何应关注供应链网络安全
    

60. 供应链安全指南：确定组织中的关键参与者和评估风险
    

61. 供应链安全指南：了解关心的内容并确定其优先级

62. 供应链安全指南：为方法创建关键组件

63. 供应链安全指南：将方法整合到现有供应商合同中

64. 供应链安全指南：将方法应用于新的供应商关系

65. 供应链安全指南：建立基础，持续改进。

66. 思维导图：ICT供应链安全风险管理指南思维导图
    

67. 英国的供应链网络安全评估

68. >>>其他<<<

69. 网络安全十大安全漏洞

70. 网络安全等级保护：做等级保护不知道咋定级？来一份定级指南思维导图

71. 网络安全等级保护：应急响应计划规范思维导图

72. 安全从组织内部人员开始

73. VMware 发布9.8分高危漏洞补丁

74. 影响2022 年网络安全的五个故事

75. 2023年的4大网络风险以及如何应对

76. 网络安全知识：物流业的网络安全

77. 美国白宫发布国家网络安全战略

78. 网络安全知识：什么是AAA（认证、授权和记账）？

原文始发于微信公众号（祺印说信安）：开源代码带来的10大安全和运营风险