原创丨基于供应链第三方开源组件的风险与挑战研究

摘  要：在全球化和数字化背景下，第三方开源组件已成为软件开发的核心驱动力，但也带来了严重的供应链安全风险。多起重大攻击事件，如Polyfill服务被黑客利用分发恶意软件、XZ库被植入后门，揭示了开源组件的脆弱性，冲击了对其信任，暴露了安全防护措施的不足。为应对复杂的安全挑战，必须调整和强化供应链安全策略，确保软件开发的稳定性和可靠性。

关键词：供应链攻击；第三方开源组件；Polyfill攻击事件；XZ库投毒；信息通信技术（ICT）

0 引言

在高度互联的世界中，第三方开源组件推动了软件开发，但也带来了显著的安全风险。研究表明，2010-2020年间，相关攻击呈上升趋势，尤其在2019年，平均每5.6天就有一起攻击事件[1]。2024年初，Polyfill服务被恶意利用，影响超10万网站，XZ项目的投毒攻击展示了高度隐蔽性。这些事件削弱了对开源组件的信任，暴露了安全防护不足，促使企业重新审视供应链安全策略。

1 风险分析

风险分析的核心在于识别、评估和理解第三方开源组件在企业运营中的潜在安全隐患。供应链安全对于企业至关重要，任何阶段的漏洞都可能威胁企业的整体安全。近年来，供应链攻击日益频繁且复杂，企业需重点关注这些技术风险。通过揭示潜在的攻击路径，企业可提高风险意识，制定有效的应对策略，并增强应对突发事件的能力。第三方开源组件在供应链中面临三大主要安全风险：首先是代码质量与安全性问题，开源代码中的漏洞易被黑客利用。Polyfill供应链攻击事件便显示了开源代码被篡改的风险，影响了大量网站，凸显了代码质量对安全的重要性。据新思科技报告，84%的代码库含有漏洞，可能引发重大安全事件[2]。其次，复杂的依赖关系使供应链脆弱，一旦组件被篡改或攻击，可能引发连锁反应，影响整个系统。最后，维护和更新不及时加剧了风险，未及时维护的开源项目可能存在长期漏洞，增加被攻击的风险。据Sonatype报告，大量开源项目处于非活跃状态，进一步加剧了这一问题。这些因素不仅威胁企业的即时安全，还可能导致技术债务积累，影响系统的可靠性、可用性及企业的长期竞争力。

1.1 案例：Polyfill供应链攻击事件

在2024年的Polyfill事件中，攻击者劫持了Polyfill库，注入恶意代码，影响超过10万网站。代码通过条件判断用户的设备类型和浏览器，如果检测到是桌面浏览器，则加载名为localRedirect.html的文件，实现页面重定向到不安全的网站；如果是移动设备，则不执行重定向。这种逻辑隐藏了恶意行为，绕过了部分安全检测机制，使得恶意代码更难被发现和阻止。核心代码示例：

图1 代码块

在该案例中，攻击者非法获取了Polyfill库的访问权限，篡改库文件并植入精心构造的恶意代码。开发人员在项目中未意识到风险，引用了被篡改的Polyfill库。应用程序运行时加载并执行了该库，激活了恶意代码，可能在用户不知情的情况下执行恶意操作。攻击者通过检查用户设备和浏览器类型，决定是否加载本地JavaScript脚本，实现页面重定向，从而窃取敏感数据、破坏系统功能或非法控制目标系统。实际应用中，攻击者修改Polyfill库的代码，在受害者网站上加载恶意脚本，执行各种攻击，如将用户重定向至非法网站或窃取用户数据，严重威胁系统和用户的安全[3]。

1.2 案例：XZ事件分析

2024年3月，微软工程师发现XZ Utils的liblzma库被植入了后门代码，导致CPU使用率异常飙升。攻击者在正常函数中悄悄执行恶意代码，揭示了数据安全的潜在风险。核心代码示例显示，恶意版本的compress函数在执行正常的压缩逻辑之前，先调用了send_to_attacker函数。这一设计使攻击者能够在数据被压缩并发送回用户之前，悄悄地将敏感信息发送给自己。该代码展示了如何通过在合法功能中嵌入恶意操作，实现数据窃取，突出了开源组件被篡改后的安全风险。核心代码示例：

图2 xz_library.py代码块

在该案例中，攻击者在广泛使用的XZ工具库中植入了新的恶意函数，使他们能够接收并利用通过后门发送的数据。由于XZ工具库被SSH等服务依赖，作为其基础环境的一部分，被篡改的库成为进一步攻击的载体。利用这个漏洞，攻击者可以通过SSH服务的数据外联进行攻击，最终获得未授权的远程访问权限。他们通过篡改XZ库的代码，侵入了SSH等基础软件的发行版，在安装受影响软件的系统中植入后门漏洞，绕过SSH远程连接的认证机制，直接获得系统的管理权限，执行任意代码。这个后门能够在不被察觉的情况下执行恶意活动，如监控用户行为或窃取敏感信息[4]。

1.3 风险成因与危害

第三方开源组件在软件供应链中的脆弱性和潜在风险主要来自以下方面：首先，代码篡改风险显著，例如在 Polyfill 供应链攻击事件中，攻击者篡改开源代码，影响了超过10万个网站，凸显了开源组件易受攻击性，直接威胁企业信任度和品牌声誉。其次，依赖链的复杂性带来传播风险，由于开源组件之间依赖关系复杂，一旦某组件被攻击，恶意代码可能迅速扩散，造成连锁反应，影响整个系统，如Polyfill事件和XZ库恶意投毒案例所示，这种连锁效应不仅影响单个项目，还可能在企业整体架构中造成长期安全隐患和稳定性问题[3]。再次，数据泄露风险，攻击者通过植入恶意代码，可能窃取用户个人信息、登录凭证和支付信息，导致严重数据泄露，不仅侵犯用户隐私，还可能引发身份盗窃和金融欺诈，给企业带来巨大的法律和经济风险。最后，后门手法复杂增加检测难度，如在XZ库事件中，攻击者通过隐蔽的后门代码执行恶意操作，使系统长期面临潜在安全威胁，增加了企业在网络安全维护上的负担。

2 影响分析

第三方开源组件虽提升开发效率和资源共享，但也带来安全风险，影响企业经济、数据安全、法律合规、信任及长期发展。供应链攻击如Polyfill事件影响10万余网站，导致功能损坏、数据丢失和系统瘫痪，平均成本达450万美元。攻击者植入恶意脚本窃取敏感数据，侵犯用户隐私，引发身份盗窃和金融欺诈，尤其在金融和医疗行业严重。随着欧盟GDPR等法规完善，企业未及时应对可能面临高额罚款和诉讼。Polyfill和XZ库投毒事件暴露供应链脆弱性，使企业难以完全控制开源组件安全，信任危机促使企业加强安全审核和监控，部分企业可能放弃开源技术，转向内部开发或商业解决方案，影响开源社区活力和创新。

3  防护措施

在企业运营生命周期中，第三方开源组件的广泛使用提升了开发效率和资源共享的便利性，但也引入了安全风险。为有效管理和降低这些风险，企业必须采取全面的安全防护措施，涵盖技术和管理制度。在管理制度方面，企业应制定明确的安全策略和使用规范，确保所有开源组件符合安全标准。严格管理供应商和第三方，要求其通过安全评估与认证，并在合同中明确安全责任。实施严格的变更管理流程，所有组件的引入和更新需经过审查和批准，保持详细的版本控制记录。定期进行风险管理与监控，及时应对新漏洞，确保许可证合规，避免法律风险。建立完善的供应链管理体系，全面评估供应商的信誉、历史记录和安全实践，并通过定期的第三方审计，进一步确保组件的安全性和合规性[5]。

在技术层面，防护措施包括利用自动化工具、零信任架构和漏洞管理来保障系统安全。企业应进行组件安全审核，如代码审查、漏洞扫描和依赖检查，确保开源组件的安全性；采用代码签名和差分验证，保证组件在传输和存储过程中的完整性。定期更新和补丁管理，迅速修复安全漏洞。实施最小化权限原则和隔离运行环境，降低潜在风险。在安全开发生命周期中，整合静态与动态分析、渗透测试等措施，增强代码安全性。通过动态监控和异常检测，实时监控系统活动，及时发现并响应安全事件。利用自动化和智能化的安全工具，在开发阶段自动检测代码漏洞，并通过依赖项扫描识别第三方组件的安全隐患，提升管理效率。容器安全通过扫描镜像中的漏洞和恶意软件，确保容器镜像的安全性。

4 结语

在全球化和数字化背景下，供应链安全在软件开发领域变得尤为重要。尽管企业和开发者广泛依赖第三方开源组件以提升效率和创新，但这也带来了显著的安全风险。XZ库投毒和2024年Polyfill供应链攻击等事件揭示了开源组件的脆弱性。复杂的依赖关系、代码质量参差不齐和维护不及时，使这些组件易被攻击者利用，增加了供应链的安全隐患。随着攻击数量和复杂性增加，企业必须高度重视这些安全挑战。在享受开源组件优势的同时，清醒认识其潜在安全隐患至关重要。

参考文献：

[1]张宏涛,张超,梁琼丹,等. 软件供应链安全隐患与防范措施 [J]. 网络空间安全, 2024, 15 (04): 300-305.

[2]纪守领,王琴应,陈安莹,等. 开源软件供应链安全研究综述 [J]. 软件学报, 2023, 34 (03): 1330-1364. DOI:10.13328/j.cnki.jos.006717.

[3]钟浪辉,唐淑艳. 基于AIGC的开源软件供应链风险识别 [J]. 微型电脑应用, 2024, 40 (08): 77-80.

[4]王江,姜伟,张璨. 开源软件供应链安全风险分析研究 [J]. 信息安全研究, 2024, 10 (09): 862-869.

[5]樊佳讯,杨佳宁. 工业软件供应链安全风险分析及对策建议 [J]. 新型工业化, 2021, 11 (10): 138-140. DOI:10.19335/j.cnki.2095-6649.2021.10.030.

（注：此文原文发表在《软件》2025年第46卷第1期）

商务合作丨开白转载丨媒体交流   联系方式：18813062895

往 期 回 顾：

原创丨欧盟委员会发布新网络安全危机管理蓝图

原创丨欧盟网络安全局发布《2024年欧盟网络安全状况报告》