随着软件产业的快速发展,现代软件大多数是被“组装”出来的,不是被“开发”出来的。各类信息系统的软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。如今软件供应链已经成为国内外对抗的焦点,直接影响关键基础设施和重要信息系统安全。
一、近期某软件供应链安全事件及原因分析
近期SonarQube软件供应链安全事件频发,充分揭露出软件开发使用第三方组件,带来了便利同时也带来了巨大的软件供应链安全风险,直接影响到各行业安全健康发展。在“无科技不软件”背景下,软件新业态对关键核心技术的依赖程度越来越高,一旦供应链某个环节出现问题,将对我国各行业的安全造成重大影响。
事件详情描述:
2021年10月,ATW黑客团伙在境外论坛第一次出售我国单位相关系统的源代码,并称能直接访问到内部系统。随后该黑客组织又陆续发布我国多家重要单位的系统源代码、用户数据、数据库,我们追踪ATW活跃记录,整理出以下时间轴:
深入分析ATW事件就会发现,此次持续性的源码泄露事件根本原因在于各企业的SonarQube平台被入侵。SonarQube系统在默认配置下,会将通过审计的源代码上传至SonarQube平台。攻击者利用该漏洞,可在未授权的情况下获取SonarQu