供应链安全之被忽略的软件质量管理平台安全

背景

随着我国信息化进程加速,网络安全问题更加凸显。关键信息基础设施和企业单位在满足等保合规的基础上,如何提升网络安全防御能力,降低安全事件发生概率?默安玄甲实验室针对SonarQube供应链安全事件进行分析,强调供应链安全中易被忽略的软件质量管理平台安全。

近日,一个名为AgainstTheWest的组织在rainforums论坛频繁公布中国多个关键基础设施的源代码。除了对此类不法组织的痛恨之外,各位也应从中看到很多单位未重视供应链安全的问题。

图片

图片来自网络

一、事件分析

去年十月,FBI就SonarQube未授权访问漏洞问题进行了通报。

https://s3.documentcloud.org/documents/20399900/fbi_flash_sonarqube_access_bc.pdf

图片

图片来自网络


但由于国内外存在信息差,且不少单位对安全敏锐度相对较低,黑客利用攻防信息不对称对多个关基造成影响。当然也不乏一些响应较早的单位,例如西安交通大学网络信息中心(此处点赞)。

图片

图片来自网络

以下为SonarQube的全球分布状况:其中美国最多,共有10,817;中国第二,2,576个;德国第三,有1,893个。

图片

SonarQube全球分布情况(11月13日晚实时数据)

国内分布状况为:云主机和其它资产1,444个;北京第一,245个;浙江第二,198个。广东第三,168个。

图片

SonarQube国内分布情况(11月13日晚实时数据)

二、软件质量管理平台与代码管理平台的安全

不少软件质量管理平台为B/S架构,导致黑客在寻找目标时更容易探测和获取其指纹,利用网络空间测绘技术对某个地区进行无差别批量攻击。

除了架构本身易被恶意利用外,安全产品本身的安全问题也值得关注,以Fortify为例,目前CVE已收录其25个安全缺陷。

图片

Fortify CVE

另外,老生常谈的Gitlab、Gogs、Jenkins也可能成为源码泄露的罪魁祸首。以下为国内某互联网公司生鲜社区的代码仓库未授权访问:

图片

图片来自网络


以下为Gogs全网的资产数量:

图片

图片来自网络

三、如何防范类似供应链攻击

1、督促软件提供商重点关注开发工具链中的供应链风险

不管是SDL还是DevSecOps流程中,均涉及到众多开发工具或安全工具,例如上文中提到的Gitlab、Jira、Jenkins、Confluence、SAST等工具。若开发工具链中的产品出现安全风险,会直接威胁到企业业务源代码安全,因此针对开发体系中的工具,我们需要做好如下事项:

(1)控制暴露面,开发工具链中的任何工具不暴露到公网,并对企业暴露面进行周期性检查;

(2)加强工具的使用接入认证,面对异地办公、多地协作场景,建议使用零信任进行接入,管控接入风险;

(3)定期对开发工具链中的工具进行漏洞扫描,确保不存在历史漏洞;

(4)制定应急响应措施,一旦供应链厂商发生安全事件,立即响应。

  • 默安科技巡哨·智能资产风险监控系统在今年4月已支持本次事件中的SonarQube漏洞检测,支持对企业内外网资产进行7*24小时持续监控,发现企业公网暴露面和内网外资产,及时作风险预警。

图片

巡哨 PoC

巡哨(原哨兵云)是默安科技自主研发的一款智能资产风险监控系统,从攻击者视角帮助企业发现未知资产,通过漏洞风险、高危服务、外部威胁情报等多维度持续监控内外网及云上云下资产,实时更新最新漏洞扫描插件,帮助客户高效应对最新安全风险,实现资产透明化管理及安全风险监控。

  • 默安科技幻阵·高级威胁狩猎与溯源系统已支持构建SonarQube沙箱,诱导攻击者发起攻击,远离真实资产,精准检测高级威胁,并实时捕捉SonarQube最新漏洞威胁情报。

图片

幻阵SonarQube沙箱

  • 默安科技零信任平台支持与钉钉身份认证集成,针对异地办公、远程接入场景,提供安全的身份认证,支持短信/邮箱/MFA等多种方式进行二次验证,且在用户的访问过程中持续对访问行为进行异常检测,一旦发现数据脱库、恶意攻击等行为,根据用户策略自动进行阻断或二次验证。

2、及时修改代码中的硬编码、密钥、微服务相关的API信息命名。


3、定期diff代码,避免出现类似Codecov供应链攻击事件。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/471020.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

JVM 垃圾回收机制:探秘对象生死判定与高效回收算法

目录 一、JVM 对象生死判定 1.1 引用技术算法 1.2 可达性分型算法 二、引用 三、 回收方法区 四、垃圾回收算法 4.1 标记-清楚算法 4.2 标记-复制算法 4.3 标记-整理算法 JVM 程序计数器、虚拟机栈、本地方法栈随着线程而生,随着线程而灭。栈中的栈帧随着方法的…

接雨水 - LeetCode 热题 7

大家好!我是曾续缘💌 今天是《LeetCode 热题 100》系列 发车第 7 天 双指针第 4 题 ❤️点赞 👍 收藏 ⭐再看,养成习惯 接雨水 给定 n 个非负整数表示每个宽度为 1 的柱子的高度图,计算按此排列的柱子,下雨…

探索未来教育:在线教育微服务的革新之路

随着互联网技术的不断发展,在线教育已经成为现代教育领域的重要组成部分。而在在线教育的发展过程中,微服务架构的应用正逐渐引起人们的关注和探讨。本文将深入探讨在线教育微服务的概念、优势以及未来发展趋势。 ## 什么是在线教育微服务? …

Go——切片

1. 特点 slice并不是数组或数组指针。它通过内部指针和相关属性引用数组片段,以实现变长方案。 切片:切片是数组的一个引用,因此切片是引用类型。但自身是结构体,值拷贝传递。切片的长度可以改变,因此,切片…

Visual Studio 2013 - 清理

Visual Studio 2013 - 清理 1. 清理1.1. 工程清理1.2. 解决方案清理 References 1. 清理 Debug Release 1.1. 工程清理 (right mouse click on the project) -> 清理 1.2. 解决方案清理 (right mouse click on the solution) -> 清理解决方案 References [1] Yongq…

vue元素声明之后未使用的解决方法

错误情况:类似的这种元素声明未使用的情况 解决方法 方法一 将lintOnSave :false 改为lintOnSave:true 方法二 在项目中找到package.json........① 使用快捷键Ctrl F 搜索eslintconfig........② 找到eslintconfig..........③ 找到rules .........④ 添…

隐语笔记1 —— 数据可信流通,从运维信任到技术信任

数据可信流通体系 关于可信的反思 信任是涉及交易或交换关系的基础 信任的基石: 身份可确认利益可依赖能力有预期行为有后果 数据流通中的不可信风险:可信链条失效&崩塌 法规层面:数据的持有权,加工权,经营权…

Restful API 日期时间格式与 ISO 8601

Restful API 日期时间格式 Restful API 在传递日期类型的参数时,应该使用什么格式? 查询参数、请求体参数、响应中的日期类型的字段,用什么格式合适? 在 RESTful API 中传递日期类型的参数时,通常建议采用一种普遍可解…

485问题汇总

485问题汇总 485 通信波形没有负电压 问题描述:设备在没有外设的时候通信波形是正常的,即5V可以出来,在连接上设备后,设备的通信波形的-5V会随着设备的增多,电压会慢慢上升。当设备连接到24台设备后,485总…

【C#】数组string类型输出

示例 代码 internal class Program{static void Main(string[] args){List<int> list new List<int>() { 1,2,3,4,5,6,7,8,9,10};string output1 string.Join(",", list);Console.WriteLine(output1);string output2 string.Join("\n", lis…

数据结构(五)——树的基本概念

五、树 5.1 树的基本概念 5.1.1 树的定义 树是n(n>0)个结点的有限集合&#xff0c;结点数为0的树称为空树 非空树的特性 有且仅有一个根节点没有后继的结点称为“叶子结点”&#xff08;或终端结点&#xff09;有后继的结点称为“分支结点”&#xff08;或非终端结点&a…

Java项目基于SpringBoot和Vue的时装购物系统的设计与实现

今天要和大家聊的是一款基于SpringBoot和Vue的时装购物系统。 &#x1f495;&#x1f495;作者&#xff1a;李同学 &#x1f495;&#x1f495;个人简介&#xff1a;混迹在java圈十年有余&#xff0c;擅长Java、微信小程序、Python、Android等&#xff0c;大家有这一块的问题可…

OPPO 后端二面,凉凉。。。

美众议院通过 TikTok 法案 之前我们讲了 老美要求字节跳动在 165 天内剥离短视频应用 TikTok&#xff0c;当时的最新进度是 TikTok 给 1.7 亿美国用户发弹窗&#xff0c;发动用户群众给国会打电话进行抗议。 但显然这点力度的抗议并不会造成什么实质影响。 昨晚&#xff0c;美国…

SpringBoot与SpringCloud的版本对应详细版

在实际开发过程中&#xff0c;我们需要详细到一一对应的版本关系&#xff1a;Spring 官方对应版本地址&#xff1a; (https://start.spring.io/actuator/info)&#xff0c;建议用firefox浏览器打开&#xff0c;你会看见格式化好了json信息&#xff1a; 手动记录一些经本人实际…

【译】矢量数据库 101 - 什么是矢量数据库?

原文地址&#xff1a;Vector Database 101 - What is a Vector Database? 1. 简介 大家好——欢迎回到 Milvus 教程。在上一教程中&#xff0c;我们快速浏览了每天产生的日益增长的数据量。然后&#xff0c;我们介绍了如何将这些数据分成结构化/半结构化数据和非结构化数据&…

使用WordPress在US Domain Center上建立招聘网站的详细教程

第一部分&#xff1a;介绍招聘网站 招聘网站是指用于发布招聘信息、吸引求职者、进行简历筛选和管理招聘流程的网站。在WordPress中&#xff0c;您可以轻松地创建一个功能齐全的招聘网站&#xff0c;以便企业能够方便地管理招聘流程&#xff0c;并为求职者提供信息和应聘渠道。…

论文浅尝 | GPT-RE:基于大语言模型针对关系抽取的上下文学习

笔记整理&#xff1a;张廉臣&#xff0c;东南大学硕士&#xff0c;研究方向为自然语言处理、信息抽取 链接&#xff1a;https://arxiv.org/pdf/2305.02105.pdf 1、动机 在很多自然语言处理任务中&#xff0c;上下文学习的性能已经媲美甚至超过了全资源微调的方法。但是&#xf…

力扣Lc18--- 168. Excel表列名称(java版)-2024年3月19日

1.题目描述 2.知识点 注1&#xff1a;StringBuilder 对象的 insert() 方法用于在字符串的指定位置插入字符或字符序列。这里的第一个参数是插入位置的索引&#xff0c;而第二个参数是要插入的字符或字符序列。 public class InsertExample {public static void main(String[…

彻底学会系列:一、机器学习之梯度下降(2)

1 梯度具体是怎么下降的&#xff1f; ∂ J ( θ ) ∂ θ \frac{\partial J (\theta )}{\partial \theta} ∂θ∂J(θ)​&#xff08;损失函数&#xff1a;用来衡量模型预测值与真实值之间差异的函数&#xff09; 对损失函数求导&#xff0c;与学习率相乘&#xff0c;按梯度反方…

搭建基于 Snowflake 的 CI/CD 最佳实践!

Snowflake 提供了可扩展的计算和存储资源&#xff0c;和基于 SQL 的界面 Snowsight&#xff0c;方便用户进行数据操作和分析。然而&#xff0c;如果用户想将自己的 CI/CD 流程与 Snowflake 集成时&#xff0c;会发现一些不便之处&#xff08;尤其相比其 SnowSight 优秀的查询能…