中新经纬6月18日电 “国家安全部”微信号18日发文提醒警惕软件“供应链投毒”。
国家网络安全通报中心监测发现,近期集中爆发多起供应链投毒攻击事件,涉及开源软件仓库和商用工具两大核心供应链场景。相关“供应链投毒”事件呈现攻击隐蔽性强、影响范围广、危害程度高和传播速度快的共性特征,可造成凭据遭窃取、远程代码执行和敏感数据泄露等严重危害。
软件供应链,是软件从组件获取、开发集成、版本分发,直至交付终端用户使用的全流程链条。与直接针对终端的网络攻击不同,“供应链投毒”是一种典型的“上游污染、下游传导”模式。攻击者通过劫持开发者官方账号、篡改开源代码仓库源码、污染软件安装包与发布版本等方式,将恶意程序植入各类软件中。随着软件的发布与更新,这些潜伏的“毒瘤”便被源源不断地输送至海量终端设备。
国家安全部表示,软件“供应链投毒”引发的并非单一节点的安全故障,而是全域感染的系统性危机。
传播范围难以控制。基础组件被数以万计的软件所依赖。一旦某个核心组件被污染,使用它的软件都会受到波及,风险将随着代码依赖链不断扩散。
账号密钥不再安全。开发环境和服务器里往往保存着账号密码、API密钥、加密证书等重要凭证。一旦这些“钥匙”被窃取,可导致个人隐私、工作敏感信息泄露。
终端设备沦为傀儡。被“投毒”的组件可能偷偷连接攻击者服务器,接收远程指令。攻击者可借此窃取文件、数据,甚至将被控设备用于对外攻击、非法“挖矿”。
安全修复周期漫长。普通漏洞或许一个补丁就能解决,但“供应链投毒”往往要先查清上游组件问题,再逐一推动下游软件更新、测试与重新发布,处置成本较高,周期较长。
对此,国家安全部提示指出,从开发厂商到运营平台,再到亿万终端用户,软件供应链的安全离不开链条上的每一个主体,需要多管齐下、协同发力,才能抵御侵袭。
守好“入口关”。软件开发者要坚持从官方网站获取开源组件、插件和研发工具,避免使用来源不明的网盘资源、破解版工具和第三方安装包。在引入开源组件时,需依托国家级漏洞平台核查组件漏洞与补丁信息。
管住“依赖链”。研发管理部门要建立软件物料清单管理机制,全面掌握系统中开源组件,第三方库及插件工具的来源、维护、漏洞等情况,对长期无人维护、来源不清、版本过旧、权限过高的组件,应及时替换或降权使用。重点系统上线前,应开展代码安全检测、依赖项扫描和恶意代码排查。
看紧“运行端”。网络运维部门要加强开发环境、测试环境、生产环境隔离,避免核心服务器、代码仓库、构建平台直接暴露在公网。对服务器异常外联、陌生进程启动、异常账号登录、流量突然升高等情况,要及时预警处置。发现高风险组件后,应立即排查受影响系统,及时升级安全版本;暂时无法升级的,应采取断网隔离、关闭相关功能、回退安全版本等措施。
厘清“责任方”。单位用户要明确软件供应链安全责任部门和责任人,将开源组件使用、第三方软件采购、系统上线验收、安全更新处置纳入日常管理。采购商业软件、外包开发和技术服务时,应在合同中明确安全检测、漏洞修复、组件来源、数据保护和应急响应责任,不能只重功能、不问安全。
避开“非官方”。个人用户尽量通过官方网站、正规应用商店下载软件,不随意安装破解版、绿色版以及来历不明的插件,不轻易运行陌生脚本和命令。收到软件更新提示时,应优先核实来源,不点击不明链接下载所谓“补丁包”“增强版”“内部版”。(中新经纬APP)
中新经纬1月11日电 据高检网11日消息,国家开发银行原党委委员、副行长王用生涉嫌受贿一案,由国家监察委员会调查终结,移送检察机关审查起诉。日前,经最高人民检察院指定管辖,吉林省人民检察院依法以涉嫌受贿罪对王用生 春节档蝶变:从7亿到80亿,从影院冷清到票房飞驰 在刚刚结束的春节档,电影市场再度创造历史。据灯塔研究院最新发布的《龙腾虎跃,势如破竹――2024年春节档电影市场洞察报告》, 2024年春节档(2月10日-2月17日),全国电 2024年北京将开通运营3条地铁线路 昨天,北京市重大项目建设指挥部召开轨道交通建设工作动员部署会。北京青年报记者从会上获悉,《2024年北京市城市轨道交通建设计划》正式发布,今年北京轨道交通将实现3号线一期( 京津冀以就业服务协同激发区域就业新活力 中新网北京2月22日电 (记者 杜燕)在京津冀协同发展战略实施十周年之际,京津冀三地人社部门22日在北京城市副中心三大建筑之一――北京城市图书馆联合举办“京津冀人社 “十四五”前三年江西省单位工业增加值能耗预计下降约8% 中新网南昌2月22日电 (朱莹)22日,江西贯彻实施《江西省人民代表大会关于全力打造国家生态文明建设高地的决定》(以下简称《决定》)座谈会在南昌召开。记 中新经纬2月22日电 据高检网22日消息,近日,中国铁路青藏集团有限公司原党委委员、职工董事、副总经理、工会主席贾军(副厅级)涉嫌受贿罪、行贿罪一案,经最高人民检察院指定管辖,由甘肃省庆阳市人民检察院依法向甘肃省 。本文链接:上游污染、下游传导!国家安全部:警惕软件“供应链投毒”http://www.sushuapos.com/show-5-105304-0.html
声明:本网站为非营利性网站,本网页内容由互联网博主自发贡献,不代表本站观点,本站不承担任何法律责任。天上不会到馅饼,请大家谨防诈骗!若有侵权等问题请及时与本网联系,我们将在第一时间删除处理。
下一篇: 叫停“倒贴抢市场” 外卖新规剑指平台内卷