网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

　　全球开源安全的严峻形势符合大多数安全专家的预期，也在引起开源从业者的警觉。

　　作者 | 杨轩 Linux 基金会亚太区总监

　　责编 | 何苗

　　出品 | CSDN（ID：CSDNnews）

　　2022 年转眼间过去，全球疫情的反复超出了很多人的预料，但是开源安全的严峻形势却符合大多数安全专家的预期。最典型的例子莫过于 Log4j，自该漏洞出现已经过去一年多，仍有许多组织由于没有正确修补他们的 Log4j 漏洞，而引发安全事件，在世界各地层出不穷。

　　美国网络安全审查委员会曾发布首份报告《回顾 2021 年 12 月的 Log4j 事件》，系统梳理了 Apache Log4j 漏洞的实际影响和未来的威胁。同时指出，Log4j 漏洞风靡全球，而且会长期存在，并将持续在未来引发风险。

　　我想值此年初，跟大家盘点一下 2022 年发生的、对全球开源安全有重大影响的一些事件，以及该领域正在发生的一些重要走向。

　　开源安全 9 大现状

　　1、欧洲政治危机引发大量新型恶意攻击软件

　　可以说，无论是和平时期还是战争时期，出于商业目的对基础设施进行网络攻击都是常态。研究显示，许多攻击软件的开发者和使用者背后都有国际组织和国家的身影。自俄乌冲突爆发以来，三家总部位于德国的风能公司成为了网络攻击的目标。

　　此外，“零日漏洞”的数量在 2022 年创下纪录，预计在 2023 年被继续刷新。零日漏洞是指在发现时未修复或此前未知，因此在修复补丁释出前会有一个时间空档，黑客可乘着空档利用漏洞发动攻击。虽然这种技术对黑客来说尤为珍贵，但对网络安全专业人士来说就是一场噩梦。安全公司 Mandiant 分析了 2021 年零日漏洞漏洞利用，据其统计，2021 年共发生了 80 起零日漏洞利用案例，而谷歌的 Project Zero 团队发现了 58 个。总体而言，当前攻击者比以往任何时候都更敏捷、更会把握时机且更有攻击性。

　　2、企业及开发者的开源安全意识有待提高

　　Log4Shell 常年位居被利用最多的漏洞名单，尽管它在2022 年底才被发现。时至今日，数以百万计的 Java 应用程序仍然容易受到 Log4Shell 的攻击。大部分专家对这个结果并不惊讶，因为即使在 Heartbleed 漏洞出现十年后的今天，一些系统仍然受到该漏洞的影响。

　　意大利特伦托大学的安全研究人员发现，“零日”攻击也许能让黑客得到一定的媒体曝光度，但最复杂的恶意黑客更有可能使用已知的旧漏洞做文章。为了更好地评估企业如何才能最好地防御高级持续性威胁（APTs），他们建立了一个 APT 攻击的数据集，涵盖了 2008 年至 2020 年间 350 个活动中的 86 个已知APT。研究人员发现，“大多数 APT 活动采用的是公开的、已知的漏洞”。APTs “经常重复使用工具、恶意软件和漏洞，与一般人的想法相悖”，由此可见，迅速而及时地打补丁是开发者必须具备的安全习惯。

　　3、恶意软件服务正在成为商品，攻击者开始瞄准 Dockers 

　　购买一些模块化的恶意软件及服务，正在变成一件容易的事，目前已经发现有人将一些普遍使用的系统和服务的恶意软件，打包在社交媒体 Telegram 上发售。全球网站使用量占 30% 到 50% 的WordPress，已经成为了黑客恶意攻击的目标之一。

　　据不完全统计，2022 年上半年大约有 6000 个 WP 网站遭受恶意的JavaScript 注入，基本上都是欺骗大家签署付费订阅的应用程序。目前大部分的供应链攻击都集中在 NPM、Maven（Java包库）和其他包管理器，但是有证据显示攻击者开始瞄准 Dockers 了。

　　4、软件供应链安全的成本越来越高

　　过去一年，IBM 发布了年度 "数据泄露成本报告"，显示数据泄露的平均成本已经创下历史新高，达到 435 万美元。另一项研究显示，商业电子邮件破坏是最有利可图的网络犯罪形式之一。被黑或被伪造的内部商业账户付款要求所骗的企业，其年损失预估为75亿美元。据美国联邦调查局称，蜂巢（Hive）勒索软件犯罪分子已经袭击了全球 1300 多家公司，在过去 18 个月里勒索了大约 1 亿美元。

　　同时，对于没有保护好客户隐私的企业，监管机构的处罚力度也是空前大。以美国 T-Mobile 公司为例，因 2021 年的大规模黑客攻击事件，该公司暴露了 7600 多万人的个人数据，为此损失了 5 亿美元（3.5 亿美元的罚款，1.5 亿美元的额外网络安全支出）。

　　5、开源安全引发全球政府的关注

　　这一年，Linux 基金会、OpenSSF 开源安全基金会以及全球各地的开源社区都在与当地政府紧密沟通，推动开源供应链安全的落地。在中国，Linux 基金会亚太区正与 COPU（中国开源软件推进联盟）、CAICT（中国信息通信研究院）、CESI（中国电子技术标准化研究院）、中科院软件所等机构和头部科技企业以及中国开源组织联手推进以开源安全为主题的技术活动。

　　其他国家在开源安全方面的动作同样令人欣喜。考虑到整个软件安全应当建立在尽可能多的人参与评估的基础上，美国政府宣布不再起诉那些开发了漏洞但在发布之前通告社区的 "善意 "黑客。

　　6、全球开源安全形势喜忧参半

　　对于安全的基础设施建设问题，去年 6 月，OpenSSF 开源安全基金会向 Eclipse 基金会提供了大量的财政捐助，来作为供应链安全工作和 Alpha-Omega 项目（注：关键开源安全项目特别保障计划）的一部分资金基础。可以帮助 Eclipse 聘请更多供应链安全人才为其项目提供供应链安全保障。这一动作堪称全球开源社区携手应对开源安全的里程碑。

　　互联网安全中心软件供应链安全指南也已创建，在技术工具方面，云安全创业公司 Aqua Security 发布了开源的审计工具 Chain-Bench，以帮助你的软件符合该指南的新基准。

　　但谷歌的威胁分析小组也分享了一个让人不安的趋势：攻击者与恶意的 ISP 合谋在 Android 和 iOS 设备上部署 Hermit 间谍软件。

　　7、人为错误仍然是软件安全最大的风险因素

　　曾有个马来西亚系统制造商将一个没有密码保护的 Elastic search 服务器开放给公共互联网，从而暴露了 15000 家企业的敏感数据，造成严重后果。因此现在很多开源项目已经在强制执行安全策略，关键的 Ruby 软件包管理器 RubyGEMS 从 2022 年 8 月开始强制执行安全策略，NodeJS 的大型软件包管理库 npm 也采取了类似的措施。

　　8、软件安全正在向超出企业可以应对方向发展

　　英国伦敦劳埃德保险公司（Lloyds of London）表示，与国家有关联的行为者，其网络攻击将不予赔付，对软件企业来说这可能是个大问题，因为越来越多网络犯罪活动与国家有关。美国陆军刚刚宣布将增加网络战进攻小组，并试行进攻性网络战课程。软件界需要采取更多措施自保，因为保险可能无法保护我们了。

　　9、市场对 SBOM 的兴趣急剧增加

　　2022 是 SBOM之年，市场对 SBOM（软件物料清单）的兴趣正在急剧增加。Sonatype 发布了《软件供应链状况报告》，包含大量重要见解和数据。目前，各国政府也接连出台了相关政策和法规，软件巨头纷纷响应：微软开放了 Salus SBOM 生成工具包；谷歌推出了 GUAC（Graph for Understanding Artifact Composition）免费工具，可以将许多不同来源的软件安全元数据汇集在一起，包括 SBOM。