开源安全风险

参考资料

• 国家计算机网络应急技术处理协调中心《2021年开源软件供应链安全风险研究报告》
• 信通院《2022年开源安全深度观察报告》
• 新思科技《2022年开源安全与风险分析报告》
• 奇安信《2022中国软件供应链安全分析报告》
• 信标委《信息安全技术 软件供应链安全要求》

回顾开源供应链风险的分类

• 技术风险
• 法务风险
• 生态风险
• 政策风险

大多数的安全风险分析报告，主要只涉及技术风险中的漏洞、以及法务风险的一部分。

奇安信的安全风险分类

• 输入验证
• 跨站脚本
• API误用
• NULL引用
• 资源管理
• 路径遍历
• 注入
• 密码管理
• 配置管理
• 日志伪造

信标委的安全风险分类

• 软件漏洞利用
  • 随着软件的复杂度不断提高，软件产品内部开发过程中产生的以及从上游继承的软件漏洞无法避免，这些软件漏洞可能被攻击者利用，对软件以及计算机系统造成严重的安全风险。
• 软件后门植入
  • 供方预留
    • 供方出于软件维护的目的，在软件产品中预置后门，如果预置后门被泄露，攻击者会通过预置后门获得软件或操作系统的访问权限。
  • 攻击者恶意植入
    • 攻击者入侵软件开发环境，污染软件供应链中的组件，劫持软件交付升级链路，攻击软件运行环境植入恶意后门，获得软件或操作系统的访问权限。

• 恶意篡改
  • 恶意代码植入
    • 在需方不知情的情况下，在软件产品或供应链中的组件中植入具有恶意逻辑的可执行文件、代码模块或代码片断。
  • 开发工具植入
    • 使用被恶意篡改的开发工具，导致开发的软件或组件存在恶意代码。
  • 供应信息篡改
    • 在供方不知情的情况下，篡改软件供应链上传递的供应信息，如销售信息、商品信息、软件构成信息等。
• 假冒伪劣
  • 供方提供未经产品认证、检测的软件或组件，或未按照声明和承诺提供合格的产品。

• 知识产权非法使用
  • 未经授权而生产、销售、发布软件或组件，导致软件产品的全部或部分被泄漏到授权以外的范围。如盗版软件、违反开源许可使用的软件、违反协议进行的二次开发等。
• 供应中断
  • 突发事件中断
    • 因自然等不可抗力、政治、外交、国际经贸等原因造成上游软件、使用许可、知识产权授权的中断。
  • 不正当竞争
    • 软件供方利用需方对产品和服务的依赖，实施不正当竞争或损害用户利益的行为。

• 信息泄露
  • 软件供应链信息被有意或无意地泄露，如软件上游供应商、下游需方的信息可能涉及商业秘密，供应链信息存在被泄露的风险。
• 开源许可违规使用
  • 无开源许可证
    • 软件产品发布时缺少开源许可证类型，包括但不限于LGPL、Mozilla、GPL、BSD、MIT、Apache等许可证。
  • 使用不规范
    • 软件产品发布时不符合相应许可协议的规范和要求，包括但不限于没有遵循开源许可证协议，开源组件修改后许可信息丢失，存在无许可信息的开源片段代码等。
• 供应链劫持
  • 供应链劫持是普遍存在的一种供应链污染，安全风险突出，涉及捆绑恶意代码、下载劫持、网络劫持、物流链劫持、升级劫持等。