【资料图】
记者昨从麒麟科创园获悉,位于园区的开源软件供应链重大基础设施已初步完成供应链安全分析平台建设,在面向全网针对开源生态“投毒”攻击威胁现象的持续监测中,成功发现8个Python恶意包及707个被“投毒”成功的开源项目。
开源生态“投毒”攻击是指攻击者利用软件供应商与最终用户之间的信任关系,在合法软件的开发、传播和升级过程中进行劫持或篡改,从而达到非法目的的攻击类型。许多开源软件存储库在设计时强调方便快捷,却忽略了恶意代码检测机制,从而导致开源生态“投毒”攻击现象越来越严重。当前超过99%的商业软件包含开源软件,一旦具有大规模用户基础的开源软件存在安全漏洞,会影响整个软件产业及其他重要行业的供应链安全。
基于开源软件供应链重大基础设施,科研团队对开源生态“投毒”攻击现象进行了持续监测,在对开源软件存储库进行全面检测时发现了大量开源软件安全漏洞。其中,8个Python恶意包中包含隐秘的恶意代码,存在巨大安全隐患,包括窃取隐私信息和数字货币密钥、远程控制等一系列攻击活动,一旦被恶意使用,将造成网络安全、金融等领域重大损失。该成果已提交Python官方,并收到其感谢信。
此外,团队还对第三方插入的代码执行后门的扩展包进行了传播性检测,累计发现被“投毒”成功的开源项目707个。该成果正在反馈国家信息安全漏洞共享平台(CNVD)、国家信息安全漏洞库(CNNVD)等安全漏洞管理机构,其中17个现已获得正式漏洞编号。
为应对开源生态存在的风险,麒麟科创园联合中科院软件所于2021年启动开源软件供应链重大基础设施,在园区建设国内首个集开源软件采集存储、开发测试、集成发布、运维升级等一体化设施,旨在打造全球最大的开源代码知识图谱和开源软件供应链体系,以保障我国开源软件供给安全和产业创新发展。该重大基础设施将推进开源软件及其供应链的自主可控与安全可靠,有效支撑国内各行业的开源应用场景。
记者获悉,目前麒麟科创园已培育建设开源软件供应链重大基础设施、信息高铁综合试验基础设施等4个“中科系”重大科技基础设施项目。四大“重器”落地,将支撑更多国家级科技项目落地实施,有效服务我国软件科技攻关工作,推动我国软件产业走上自主创新、自立自强之路。对南京而言,它们将共同为南京加强“从0到1”基础研究,建设国家区域科技创新中心提供强有力的支撑。
精彩推荐
24小时热点
