Google發(fā)布開(kāi)源依賴(lài)性“內(nèi)窺鏡”
責(zé)編:gltian |2021-06-09 14:14:28
現(xiàn)代企業(yè)的軟件開(kāi)發(fā)高度依賴(lài)開(kāi)源項(xiàng)目,同時(shí)也導(dǎo)致很多企業(yè)(包括這些企業(yè)的用戶(hù))嚴(yán)重低估了軟件項(xiàng)目對(duì)開(kāi)源代碼的依賴(lài)度,以及由此引發(fā)的巨大安全隱患。
開(kāi)源安全危機(jī)四伏
根據(jù)安全牛此前的報(bào)道《開(kāi)源盛世需警惕“安失之亂”》,自由軟件與開(kāi)源軟件(FOSS)在現(xiàn)代軟件中的占比高達(dá)80%-90%。與此同時(shí)75%的開(kāi)源代碼庫(kù)存在安全漏洞,其中49%屬于高危漏洞。國(guó)內(nèi)的開(kāi)源安全形勢(shì)尤為嚴(yán)峻,因?yàn)閲?guó)內(nèi)相當(dāng)大比例的軟件是被組裝出來(lái)的,其原材料就是開(kāi)源軟件。開(kāi)源軟件已經(jīng)成為網(wǎng)絡(luò)空間的“磚頭瓦塊”,無(wú)處不在。而一個(gè)開(kāi)源軟件出現(xiàn)安全問(wèn)題,會(huì)導(dǎo)致依賴(lài)它的其他開(kāi)源軟件受到影響,這種層層關(guān)聯(lián)的依賴(lài)性,造成了非常隱蔽和復(fù)雜的攻擊面。
近日,Google發(fā)布了一個(gè)全新的實(shí)驗(yàn)性開(kāi)源依賴(lài)性分析工具Open Source Insights,可以幫助開(kāi)發(fā)人員發(fā)現(xiàn)他們使用的開(kāi)源包/庫(kù)的依賴(lài)項(xiàng)以及他們當(dāng)前存在的已知安全漏洞。
開(kāi)源依賴(lài)性分析
Open Source Insights是谷歌云平臺(tái)托管的工具,通過(guò)網(wǎng)站訪(fǎng)問(wèn),用戶(hù)可以在其中輸入特定開(kāi)源包的名稱(chēng)并大致了解它們與開(kāi)源項(xiàng)目的依賴(lài)度,包括如下信息:
- 關(guān)于軟件包的信息(描述、所有權(quán)、鏈接)
- 依賴(lài)項(xiàng)(軟件包依賴(lài)的開(kāi)源組件)
- 依賴(lài)者(依賴(lài)該開(kāi)源組件的軟件包)
- 安全公告(軟件包和依賴(lài)項(xiàng)中的已知漏洞、非托管依賴(lài)項(xiàng)等)
- 許可證信息
“除此之外,Insights還提供交互式工具來(lái)可視化和分析完整的、可傳遞的依賴(lài)圖。它還提供一個(gè)比較工具,可以突出顯示軟件包的不同版本是如何影響您的依賴(lài)項(xiàng)的:可能是通過(guò)更改它們自己的依賴(lài)項(xiàng)、添加許可要求或修復(fù)安全問(wèn)題來(lái)實(shí)現(xiàn)的。”開(kāi)源洞察團(tuán)隊(duì)解釋道。
該工具目前顯示有關(guān)50,000個(gè)(Rust)Cargo包、60萬(wàn)個(gè)Go模塊、42萬(wàn)個(gè)Maven(Java)和360萬(wàn)個(gè)npm包(Node.js)的信息。此外,谷歌正在開(kāi)發(fā)額外的打包系統(tǒng)。
Insights開(kāi)發(fā)團(tuán)隊(duì)解釋說(shuō):“該項(xiàng)目會(huì)掃描它可以發(fā)現(xiàn)的所有可用包,方法是讀取npm等系統(tǒng)包的主站點(diǎn)或者掃描GitHub和其他存儲(chǔ)庫(kù)的托管站點(diǎn)。”
“目前,Insights只能使用已知的打包模型分析此類(lèi)系統(tǒng),因?yàn)樗枰虬畔?lái)構(gòu)建依賴(lài)關(guān)系圖。這意味著至少目前它們沒(méi)有C或C++的數(shù)據(jù),沒(méi)有明確的打包模型。”
提高開(kāi)源供應(yīng)鏈的安全性
由于企業(yè)軟件開(kāi)發(fā)對(duì)開(kāi)源軟件的依賴(lài)不斷增加,以及不受管理的開(kāi)源代碼帶來(lái)的安全風(fēng)險(xiǎn)(包括安全漏洞、過(guò)時(shí)或廢棄的組件以及許可合規(guī)性問(wèn)題)無(wú)處不在,企業(yè)軟件開(kāi)發(fā)團(tuán)隊(duì)需要密切關(guān)注軟件解決方案包中的許多頻繁變化的開(kāi)源代碼依賴(lài)關(guān)系。
開(kāi)發(fā)人員可以使用漏洞掃描程序和依賴(lài)項(xiàng)審計(jì)來(lái)識(shí)別漏洞,但Open Source Insights提供了對(duì)軟件供應(yīng)鏈安全性更廣泛和更深入的思考。
“Insights不是試圖取代標(biāo)準(zhǔn)工具集,而是通過(guò)對(duì)每個(gè)包模型的整個(gè)生態(tài)系統(tǒng)的全新集成視圖來(lái)增強(qiáng)它。”Google解釋說(shuō)。
“一個(gè)關(guān)鍵的區(qū)別是Insights數(shù)據(jù)來(lái)自軟件本身及其軟件包定義。結(jié)果可能與僅聲明的依賴(lài)項(xiàng)(例如打包‘鎖定’文件)完全不同或更完整。此外,Insights提供的數(shù)據(jù)會(huì)定期重新評(píng)估,以保持最新?tīng)顟B(tài),這在快速發(fā)展的開(kāi)源開(kāi)發(fā)世界中非常重要。”
Insights還會(huì)跟蹤各種公共漏洞數(shù)據(jù)庫(kù)以標(biāo)記已知的安全問(wèn)題。
Google表示,常用包的數(shù)據(jù)通常是最新的,但非活躍和舊軟件包的數(shù)據(jù)可能是過(guò)時(shí)的。
來(lái)源:安全牛
- 周鴻祎領(lǐng)銜!百所高校+企業(yè)組團(tuán)亮相ISC.AI 2025“紅衣課堂”
- 港科大發(fā)布大模型越獄攻擊評(píng)估基準(zhǔn),覆蓋6大類(lèi)別37種方法
- 引領(lǐng)智能運(yùn)維!全新FortiAIOps 3.0重新定義IT運(yùn)營(yíng)
- MirageFlow:一種針對(duì)Tor的新型帶寬膨脹攻擊
- 英偉達(dá)約談事件的制度邏輯與趨勢(shì)展望
- 國(guó)家互聯(lián)網(wǎng)信息辦公室發(fā)布《國(guó)家信息化發(fā)展報(bào)告(2024年)》
- 火狐中國(guó)終止運(yùn)營(yíng):辦公地?zé)o人,用戶(hù)賬號(hào)數(shù)據(jù)面臨清空
- 25年一直未變!網(wǎng)絡(luò)安全永恒的“十大法則”
- 關(guān)于征集數(shù)據(jù)安全評(píng)估標(biāo)準(zhǔn)化應(yīng)用實(shí)踐案例的通知
- ISC.AI 2025主題前瞻:ALL IN AGENT,全面擁抱智能體時(shí)代!