“开源组件作为软件开发过程中的重要组件,位于整个软件供应链的源头,其漏洞问题已经成为实战攻防中的重要突破口,严重威胁着网络系统的安全。”奇安信安全服务子公司负责人表示,奇安信重磅推出开源组件漏洞检测服务,旨在帮助政企客户照亮开源组件中无处不在的安全“黑洞”。
开源组件安全问题已迫在眉睫
数字化时代,软件无处不在,如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一。软件的安全性问题也正在成为当今社会的根本性、基础性问题。近几年,针对软件供应链的攻击事件频发,无论是2014年爆发的心脏滴血漏洞事件还是2020年底爆发的Solarwinds供应链攻击事件,都给大量用户造成了严重的损失,软件供应链已经成为网络空间攻防对抗的焦点,直接影响关键基础设施和重要信息系统安全。
与此同时,现代软件大多数是被“组装”出来的。据Gartner统计,99%的企业在其 IT 系统中使用了开源组件,不是被“开发”出来的。现在的软件开发越来越像工业生产和制造,开源组件就是原材料,再加上自己写的业务代码,最后“组装”出一个软件系统。开源组件已经成为IT系统建设的基础设施。
开源组件为企业带来了极大便利,提高了开发效率,降低了成本。然而,由于组件之间的依赖关系错综复杂,漏洞的隐蔽传染和放大效果显著,给漏洞发现、漏洞消控带来了很大的挑战。近几年,随着开源社区的大规模增长,开源组件被广泛应用,其漏洞数量也飞速增长。WhiteSource 2020年发布的报告显示,开源组件漏洞呈现逐年增加的趋势,2019年新增6000多个,相比于2014年的近2000个,增加了3倍多。
《2021中国软件供应链安全分析报告》显示,在奇安信代码安全实验室分析的2557个国内企业软件项目中,共检出168604个已知开源软件漏洞(涉及到4166个唯一CVE漏洞编号),平均每个软件项目存在66个已知开源软件漏洞,最多的软件项目存在1200个已知开源组件漏洞。
全生命周期漏洞检测令漏洞无所遁形
作为新一代网络安全的领军者,奇安信此次推出的开源组件漏洞检测服务,是基于奇安信开源卫士智能化的漏洞检测能力,结合奇安信安全服务团队丰富的实战攻防经验,能够对应用系统所涉及的开源组件进行精确识别,帮助企业建立开源组件资产台账,输出每个软件系统的开源组件资产清单,以及给出对应的开源组件漏洞信息、开源协议信息、开源组件整改建议等内容。服务团队根据奇安信漏洞评估模型对开源卫士输出的安全漏洞进行分析,并给出科学合理的漏洞整改优先顺序,同时对难以修复的开源组件给出缓解加固建议,也可对无法修复的紧急漏洞提供验证服务。
据介绍,奇安信开源组件漏洞检测服务具备以下价值:
第一,漏洞无所遁形。依据客户具体项目需求,通过工具扫描和人工分析相结合的方式,基于奇安信丰富的开源组件漏洞库以及强大的漏洞攻防能力,对应用系统引用的开源组件进行已知漏洞扫描,帮助客户建立开源组件资产台账,识别开源组件存在的漏洞风险,并对检测出的漏洞进行优先级评估、漏洞验证以协助客户推进开源组件的整改加固工作。
第二,防患未然。识别客户应用系统引入开源组件的安全漏洞,指导客户对安全漏洞进行修复、加固,通过漏洞验证直观地给客户展现存在的安全风险,有效推动研发部门的整改积极性。降低应用系统开源组件的安全风险,保障应用系统安全稳定运行。此外,该服务还能帮助相关部门开展组件级供应链安全专项检查工作,从源头规避风险。
第三,对症下药。解决用户对于研发过程中开源组件使用的未知风险,使用户明确自身系统到底使用了哪些开源组件、存在哪些已知漏洞,以及最佳的修复方式。
第四,全生命周期检测。开源组件引入时,可对引入的组件进行安全检测,评估组件的安全风险;软件开发期间,研发部门针对软件使用的开源组件进行定期扫描,及时发现存在高危漏洞风险;软件上线前,安全部门/研发部门针对要上线的软件进行开源组件安全扫描,确保应用系统安全上线;软件上线后,安全部门/运维部门定期对开源组件进行安全检测,及时发现开源组件新增漏洞。