久久成人国产精品一区二区-久久成人精品在-久久成人乱小说-久久成人毛片-久久成人小视频-久久丁香视频

行業(yè)新聞

您當前的位置:首頁 > 新聞資訊 > 行業(yè)新聞

黑客是怎樣滲透開源項目的

發(fā)布源:深圳維創(chuàng)信息技術發(fā)布時間:2020-09-25 瀏覽次數:

現代軟件開發(fā)的依賴樹讓黑客更容易從小型開源項目入手攻克。

若惡意黑客參與了小型開源軟件的開發(fā),在自身關鍵應用中包含了這些開源軟件的公司企業(yè)就可能面臨遭遇漏洞利用的風險。

安全專家指出,這些項目的開源本質和代碼的廣泛應用,對企業(yè)造成了切實的威脅。

一旦潛入開源項目,罪犯就有多種下手方式可供選擇,但必須動作夠快。

因為無論是后門鍵盤記錄器還是某種木馬,如果不是動手夠快,或者真的非常非常隱蔽,用不了多久就會被 “眾人之眼” 揪出。

網絡罪犯之所以熱衷于黑開源項目,正是由于開源項目兼具靈活性和可用性的特點,能為黑客行動的開展帶來大量機會。

真可謂眾所周知的攻擊途徑了。

而且開源項目被黑概率很可能比大眾認知的要高得多。

安全公司 Checkmarx 安全研究主管 Eran Yalon 就表示:“這可不是什么道聽途說,而是身邊時時刻刻在發(fā)生的事。

以前就曾出現過這種事情,我們沒理由認為現在就絕跡了。

幾乎所有開源項目都要求貢獻者的工作要經過項目其他成員審核才能并入項目。

審核層級隨貢獻者個人聲譽而遞減,貢獻者受信度越高,則審核層級越少。

尤其是在大型知名開源項目中,比如主流 Linux 發(fā)行版,整個審核過程非常精細完備,也有充足的人力資源持續(xù)執(zhí)行這一規(guī)程。

項目越小,則可供保障安全的資源就越少。

所以,小型項目被黑的情況也就更常見了。

小項目,大影響專家指出,超小型開源項目是黑客注入惡意代碼的重災區(qū)。

超小型開源軟件包也有可能是大型軟件包的依賴,無論依賴層有多深。

你覺得自己的項目只有一兩個依賴,但實際上可能有成百上千的,而且你根本無法徹查。

比如說,由個人開發(fā)并維護的開源項目 Event-stream 就被惡意黑客接手,成功向經由流行 JavaScript 包管理器 NPM 分發(fā)的代碼庫中注入了惡意代碼。

“Event-stream 項目的開發(fā)人員沒有足夠的時間來維護。

一名惡意用戶說服了開發(fā)者,接管了該項目。

剛剛接管的時候該項目還是像以往一樣維護。

此后,這名惡意用戶修改了 Event-stream 自身依賴的一個包,注入了可以劫持特定比特幣錢包的代碼。

該攻擊的影響范圍有多大?該項目代碼每周下載量近 150 萬次,用在其他 1,600 多個軟件包中,而這些軟件包自身又各有數百萬次的下載量。

另一起非惡意事件例證了小型開源軟件包的深遠影響:2016 年 3 月 23 日,開發(fā)者 Azer Koçulu 刪除了他通過 NPM 分發(fā)的 250 個模塊。

其中一個模塊非常之小,僅含 11 行代碼,是往文本字符串左側添加空格以適應變量定義的。

結果,這個名為 “left-pad” 的模塊是全世界成千上萬的企業(yè)和商業(yè)軟件所用依賴包的一部分,包括用 JavaScript 開發(fā)的中流砥柱 Babel 和 Node 構建的那些。

而由于 “left-pad” 下架,這些數以千萬計的應用全都失靈了。

雖說開發(fā)者重新創(chuàng)建該功能也不是很難,但如此簡單的動作受到的短期影響也已經十分巨大。

(近) 普遍威脅開源的普遍性眾所周知。

Gartner 數據顯示,95% 的企業(yè)在內部項目中使用開源代碼。

鑒于敏捷開發(fā)運維方法的時間壓力,由內部開發(fā)團隊編寫自有功能和函數庫來打造確定性防御的做法,是不太可能被采用的。

于是,開發(fā)團隊怎么增強代碼安全性呢?第一步就是甄選納入技術棧的庫和開源項目。

有些項目的 “履歷” 優(yōu)于其他項目。

第二步,確保所用項目是活躍項目,有定期更新。

查看項目的活動歷史可以確保項目是有眾多活躍開發(fā)者支持的好項目。

有漏洞出現時能被及時修復的概率也高得多。

而一旦補丁可用,要確保及時應用補丁修復漏洞。

常有關注零日漏洞和黑客國家隊的組織機構自己的 “基本代碼安全” 卻沒做好。

保持開源代碼更新和做好基礎的代碼掃描,才是最基本而堅實的網絡威脅防線。

這就是個信任問題:對開源項目和使用該代碼的內部開發(fā)人員的信任。

惡意開源代碼包如果沒人用,也是不會造成嚴重后果的。

IT 部門里誰能升級或修改軟件包必須有著非常明確的規(guī)定。

必須有人監(jiān)管著所發(fā)生的一切。


  • 上一篇:Facebook是非多,犯罪分子利用其分發(fā)RAT
  • 下一篇:IPv6對網絡安全的影響性分析
  • Copyright © 2021 深圳市維創(chuàng)信息技術有限公司 版權所有

    粵ICP備2021016007號

    主站蜘蛛池模板: av制服丝袜白丝国产网站 | 国产精品高清一区二区三区久久 | 久久国产精品亚洲国产第一综合 | 国产91无套粉嫩白浆在线 | 国产精品无码av片在线观看播放 | 国产高清福利 | 偷拍福利一区二区每日更新 | 久久久久久国产精品嫩草网站 | 亚洲天堂视频在线免费观看 | 国产成人精选视频在线观看 | 国产成人精品免费视频大全麻 | 麻豆蜜桃色精品电影网在线高清 | 欧美老熟妇喷水 | 国产成人精品亚洲一区 | 国产精品一区二区人人爽 | 日韩天堂视频 | 成人综合亚洲日韩欧美色 | 大尺度做爰无遮挡动漫 | 久久久精品国产免费观看同学 | 1769国产精品视频免费观看 | 亚洲欧美偷拍另类a∨色 | 日韩va亚洲va欧美va久久 | 国产粉嫩精品喷潮在线观看 | 国产精品久久人妻无码蜜 | 久草手机在线视频 | 国产巨作原创 | 蜜臀av午夜一区二区三区 | 日韩国产 | 亚洲av永久无码精品无码漫画 | 在线观看免费 | 亚洲AV国产爽歪歪无码 | VR性欧美VIDEO | 成人区人妻精品一区二区不卡 | 丰满少妇高潮掺叫无码 | 丁香五月综合缴情月高清电影在线观看 | 欧美精产国品一二三类产品区别 | 欧美熟妇黑人ⅹxxxxx | 欧美日韩精品永久在线 | 波多野结衣av无码久久一区 | 中文字幕精品无码亚 | 麻豆精品入口麻豆 |