当前,软件供应链安全依然是网络安全中备受关注的方向,基于 自研产品的技术能力和第一手实测数据,奇安信代码安全实验室继续 推出《2024中国软件供应链安全分析报告》,即本系列年度分析报告
的第四期。
软件由自主开发的代码与开源代码等第三方代码集成后,形成混 源代码,然后通过编译、连接等构建过程形成软件产品,交付给用户 使用。在这一软件供应链模型中,每个阶段中的代码或工件都可能引 入安全问题,从而导致最终软件供应链安全事件的爆发。 N
本期报告仍以此模型为基础,分析各阶段的代码安全问题对软件 供应链安全性的潜在威胁,分析内容分别在后续的国内企业自主开发 的源代码安全状况、开源软件生态发展与安全状况、国内企业软件开 发中开源软件应用状况、典型软件供应链安全风险实例分析等章节中 呈现。在此基础上,本报告还总结了趋势和变化。与往年报告相比, 本期报告在开源软件生态发展与安全部分新增了对NPM生态中恶意 开源软件分析的内容;在典型软件供应链安全风险实例部分,通过实 例再次验证了因软件供应链的复杂性,“外来”组件的“老漏洞”发 挥“Oday漏洞”攻击作用的状况。感兴趣的读者可重点关注。
1、软件供应链安全攻击手段依然花样百出
过去的一年中,软件供应链安全攻击事件没有丝毫减少的趋势, 攻击手段依然花样百出。
2023年10月,安全人员分析发现了一种新型供应链攻击。整个 9月,某黑客组织都在使用域名仿冒(Typosquatting)和星标劫持 (Starjacking)技术向开源包管理器PyPi植入一系列恶意包,并引 诱开发人员使用,而这些恶意包与Telegram、AMS和阿里云等热门通 信和电子商务平台所使用的流行软件包高度对应,被认为是故意攻击 这些平合的特定用户。攻击者可以攻陷平台用户设备,窃取金融和个 人信息、登录凭据等敏感数据,可能影响数百万人。
2023年12月,AI安全公司Lasso Security的研究人员,在GitHub
和Hugging Face平合上发现了1500多个不安全的API访问令牌,可 用来访问772个组织机构的仓库,包括谷歌、微软、Wware等公司。 其中部分令牌可帮助攻击者获得Meta公司Bloom、Meta-Liama、 Pythia等大语言模型(LLM)仓库的完全读写权限,攻击者可利用该 漏洞实施LLM训练数据投毒、模型和数据集窃取等恶意行为,从而将 使用这些仓库把LLM能力集成到应用和运营中的组织置于供应链风 险中,危及数百万下游用户的安全。
本文来自知之小站
PDF报告已分享至知识星球,微信扫码加入立享3万+精选资料,年更新1万+精选报告
(星球内含更多专属精选报告.其它事宜可联系zzxz_88@163.com)