新闻详情

News

开源软件漏洞治理:怎么啃下这块硬骨头?
新闻动态
2024-09-28

在当前信息化时代,网络安全问题日益凸显,已经成为国家和社会重点关注内容。党政机关、重要企业的网络系统遭受攻击破坏,发生数据被窃取的事件屡见不鲜。而造成网络安全事件发生与高危漏洞风险隐患息息相关。近日《2024上半年网络安全漏洞态势报告》发布揭示了网络安全漏洞的新趋势,每一趋势都如同警钟,提醒我们网络安全形势的紧迫性。

五大趋势,网安漏洞利用新动向

报告从网络安全漏洞总体视角出发,统计全球漏洞数据,分析2024上半年漏洞发展态势与流行利用趋势;并围绕攻防场景中的漏洞利用新变化、国内外开源软件漏洞发展新趋势、以及人工智能对漏洞利用与防御的影响三大角度展开分析。

趋势一:漏洞披露速度进一步加快

据统计,2024上半年全球共计披露漏洞20548个,同比增长46.16%,速率达到近十年最大值。国内真实利用0day漏洞100+个,其中SQL注入漏洞占50%.

趋势二:借助AI技术,漏洞利用工具化进一步加速

在漏洞未修复的时间窗口内,利用自动化工具可快速发起大规模攻击,最快在漏洞披露22分钟后出现利用,攻击效率大幅提升

趋势三:攻防场景中0day➕Nday组合利用成最主流手段

2024年攻防演练期间,攻击者通过多个0day、Nday组合利用成最主流手段,且更多地开发工具形成自动化攻击链,漏洞利用手段更加高级。

趋势四:开源软件漏洞传播链长、影响范围大、持续时间长

2024上半年,共披露开源软件漏洞3618个,高危及以上占比超40%,最主要缺陷类型为CWE-79。

趋势五:漏洞利用与治理迈向“智能化对抗”阶段

黑客借助AI技术逐步实现漏洞恶意利用的自动化,网络安全产品通过AI赋能实现漏洞治理智能化,“智能化对抗”升级。

开源软件漏洞治理仍是难题

特别值得关注的是,报告指出开源软件漏洞的治理仍是难点议题。开源软件作为软件供应链的重要组成部分,一旦爆发严重漏洞将对整个软件供应链带来极大安全风险。据调查,开源组件漏洞一级传播(直接依赖)影响范围扩大125倍,二级传播(间接依赖)影响范围扩大173倍。开源软件漏洞持续时间长,2021年爆发的Log4j2漏洞要十余年才能修完,期间将持续引发安全风险。开源社区的规模及活跃度参差不齐,导致开源软件漏洞修复与维护成本高,责任落实难。

开源软件风险和供应链安全密不可分,正确认识开源软件才能识别其风险,并对其进行规范化管理。

开源代码面临诸多挑战

开源软件是通过特定类型的许可证发布的软件,这种许可证能让最终用户合法地使用其源代码。在开源发展不断完善,开源生态愈发成熟的同时,源代码风险问题也逐渐显现。

安全漏洞频发

开源安全漏洞风险日益加剧,部分行业高风险漏洞修复紧迫性凸显,特别是关键行业,一旦被利用,后果不堪设想。

许可证风险问题显著

开源代码的自由共享基于特定的许可协议,忽视协议条款将导致合规风险,影响企业信誉与运营。

供应链安全复杂化

开源供应链涉及环节众多,关系网络复杂,任何一环的脆弱都可能引发连锁反应。

源代码安全检测成为开源软件安全的重要手段

面对开源代码安全的严峻挑战,强化代码安全开发流程的管控和制度建设成为当务之急。从项目立项之初就应融入安全思维,建立覆盖代码审计、漏洞管理、许可证合规性审查的全生命周期管理体系,确保开源代码的每一次集成都能经受严格的安全考验。源代码安全检测技术作为预防和减少开源安全风险的关键一环,其重要性日益凸显。

源代码安全检测是从安全的角度对软件底层源代码进行的安全测试和评估,是目前国内网络安全检测的新方向、新领域。源代码安全检测服务的流程通常包括确定审查标准和要求、收集源代码、进行静态分析、进行手动审查、编写审查报告、进行反馈和修复以及审查跟进等步骤。作为一种深入到软件开发底层的防御机制,是在软件开发生命周期早期识别潜在安全威胁的关键手段。

道普信息通过Java源代码和C/C++源代码安全检测能力验证,依托源代码安全检测为客户提供软件安全保障服务,强化软件安全防线,助力提前规避风险,确保开源代码质量与合规性,为服务关键行业客户提供了更为坚实的能力保障。

《2024上半年网络安全漏洞态势报告》不仅反映了开源软件漏洞治理的复杂性,还强调了加强源代码安全检测的紧迫性。我们需要更加重视开源软件的安全管理,共同推动数字经济健康有序地向前迈进。