久久成人国产精品一区二区-久久成人精品在-久久成人乱小说-久久成人毛片-久久成人小视频-久久丁香视频

行業(yè)新聞

您當前的位置:首頁 > 新聞資訊 > 行業(yè)新聞

黑客是怎樣滲透開源項目的

發(fā)布源:深圳維創(chuàng)信息技術發(fā)布時間:2020-09-25 瀏覽次數:

現代軟件開發(fā)的依賴樹讓黑客更容易從小型開源項目入手攻克。

若惡意黑客參與了小型開源軟件的開發(fā),在自身關鍵應用中包含了這些開源軟件的公司企業(yè)就可能面臨遭遇漏洞利用的風險。

安全專家指出,這些項目的開源本質和代碼的廣泛應用,對企業(yè)造成了切實的威脅。

一旦潛入開源項目,罪犯就有多種下手方式可供選擇,但必須動作夠快。

因為無論是后門鍵盤記錄器還是某種木馬,如果不是動手夠快,或者真的非常非常隱蔽,用不了多久就會被 “眾人之眼” 揪出。

網絡罪犯之所以熱衷于黑開源項目,正是由于開源項目兼具靈活性和可用性的特點,能為黑客行動的開展帶來大量機會。

真可謂眾所周知的攻擊途徑了。

而且開源項目被黑概率很可能比大眾認知的要高得多。

安全公司 Checkmarx 安全研究主管 Eran Yalon 就表示:“這可不是什么道聽途說,而是身邊時時刻刻在發(fā)生的事。

以前就曾出現過這種事情,我們沒理由認為現在就絕跡了。

幾乎所有開源項目都要求貢獻者的工作要經過項目其他成員審核才能并入項目。

審核層級隨貢獻者個人聲譽而遞減,貢獻者受信度越高,則審核層級越少。

尤其是在大型知名開源項目中,比如主流 Linux 發(fā)行版,整個審核過程非常精細完備,也有充足的人力資源持續(xù)執(zhí)行這一規(guī)程。

項目越小,則可供保障安全的資源就越少。

所以,小型項目被黑的情況也就更常見了。

小項目,大影響專家指出,超小型開源項目是黑客注入惡意代碼的重災區(qū)。

超小型開源軟件包也有可能是大型軟件包的依賴,無論依賴層有多深。

你覺得自己的項目只有一兩個依賴,但實際上可能有成百上千的,而且你根本無法徹查。

比如說,由個人開發(fā)并維護的開源項目 Event-stream 就被惡意黑客接手,成功向經由流行 JavaScript 包管理器 NPM 分發(fā)的代碼庫中注入了惡意代碼。

“Event-stream 項目的開發(fā)人員沒有足夠的時間來維護。

一名惡意用戶說服了開發(fā)者,接管了該項目。

剛剛接管的時候該項目還是像以往一樣維護。

此后,這名惡意用戶修改了 Event-stream 自身依賴的一個包,注入了可以劫持特定比特幣錢包的代碼。

該攻擊的影響范圍有多大?該項目代碼每周下載量近 150 萬次,用在其他 1,600 多個軟件包中,而這些軟件包自身又各有數百萬次的下載量。

另一起非惡意事件例證了小型開源軟件包的深遠影響:2016 年 3 月 23 日,開發(fā)者 Azer Koçulu 刪除了他通過 NPM 分發(fā)的 250 個模塊。

其中一個模塊非常之小,僅含 11 行代碼,是往文本字符串左側添加空格以適應變量定義的。

結果,這個名為 “left-pad” 的模塊是全世界成千上萬的企業(yè)和商業(yè)軟件所用依賴包的一部分,包括用 JavaScript 開發(fā)的中流砥柱 Babel 和 Node 構建的那些。

而由于 “left-pad” 下架,這些數以千萬計的應用全都失靈了。

雖說開發(fā)者重新創(chuàng)建該功能也不是很難,但如此簡單的動作受到的短期影響也已經十分巨大。

(近) 普遍威脅開源的普遍性眾所周知。

Gartner 數據顯示,95% 的企業(yè)在內部項目中使用開源代碼。

鑒于敏捷開發(fā)運維方法的時間壓力,由內部開發(fā)團隊編寫自有功能和函數庫來打造確定性防御的做法,是不太可能被采用的。

于是,開發(fā)團隊怎么增強代碼安全性呢?第一步就是甄選納入技術棧的庫和開源項目。

有些項目的 “履歷” 優(yōu)于其他項目。

第二步,確保所用項目是活躍項目,有定期更新。

查看項目的活動歷史可以確保項目是有眾多活躍開發(fā)者支持的好項目。

有漏洞出現時能被及時修復的概率也高得多。

而一旦補丁可用,要確保及時應用補丁修復漏洞。

常有關注零日漏洞和黑客國家隊的組織機構自己的 “基本代碼安全” 卻沒做好。

保持開源代碼更新和做好基礎的代碼掃描,才是最基本而堅實的網絡威脅防線。

這就是個信任問題:對開源項目和使用該代碼的內部開發(fā)人員的信任。

惡意開源代碼包如果沒人用,也是不會造成嚴重后果的。

IT 部門里誰能升級或修改軟件包必須有著非常明確的規(guī)定。

必須有人監(jiān)管著所發(fā)生的一切。


  • 上一篇:Facebook是非多,犯罪分子利用其分發(fā)RAT
  • 下一篇:IPv6對網絡安全的影響性分析
  • Copyright © 2021 深圳市維創(chuàng)信息技術有限公司 版權所有

    粵ICP備2021016007號

    主站蜘蛛池模板: 国产成人AV综合久久不卡 | 国产激情久久亚洲欧美视频在线 | 91精品国产综合久久精品 | 国产亚洲一区二区三区不卡 | 精品国产片一区二区三区 | 91精品国产高清久久久久 | 亚洲国产精品成人无码A片软件 | 国产精品毛片一区二区在线 | 国产精品综合一区二区 | www久久黄色视频 | 特级毛片免费观看视频 | 成人片在线观看天堂无码 | 国产成人午夜精品一区二区三区 | 精品91自产拍在线观看一区 | 国产精品欧美中文字幕 | 欧美同性又粗又硬gv | 国产成人亚洲高清一区 | 成人区人妻精品一区二区不卡网 | 99久久亚洲综合精品成人网 | a级国产乱理论片在线播放 a级国产乱理论片在线观看 | 国产女同无遮挡互慰高潮 | 高h猛烈失禁潮喷a片在线播放 | 18禁黄网站禁片免费观看 | 欧美日韓性视頻在線 | 亚洲国产aⅴ精品一区二区女女 | 国产精品第3页 | 国产乱子伦视频一区二区三区 | 加勒比黑人无码精选 | 国产在线第一区二 | 成人h动漫网站hd在线播放 | 亚洲综合色无码 | 久久久久国产精品熟女影院 | 国产精品免费一区二区 | 中文字幕肉感巨大的乳专区 | 国产精品无码久久av丝袜喷水 | 黄色三级免费观看 | 69式国产真| 国产精品女丝袜白丝袜 | av无码国产综合专区 | 久久久久久久久国产精品无码 | 国产亚洲一区二区三区啪 |