OWASP 发布开源软件OSS的十大风险，已知漏洞排名第一，首次汇齐了10大类型的攻击案例-CSDN博客

本文链接：https://blog.csdn.net/u013129300/article/details/138493118

本文探讨了开源软件在依赖性中的风险，指出CVE不足以全面评估风险，强调了合法软件包泄露、名称混淆攻击等十大安全风险。Synopsys和EndorLabs的研究显示了过时软件和依赖管理的重要性。举例说明了pymafka供应链攻击，揭示了命名策略在攻击中的作用。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

尽管软件供应链严重依赖开源软件，但业界缺乏一致的方法来理解和衡量开源软件的风险。 OSS（Open Source Sofware，开源软件）的风险管理从许可证管理开始，然后发展到CVE，但我们仍然缺乏涵盖安全、法律和运营方面的整体OSS风险管理方法。OWASP通过发布开源软件的十大安全风险，可调动行业专家和领导者合作来实现这一目标。

在这里插入图片描述

1. 概览

在过去十年对 OSS 的依赖中，授予为 CVE 编号的已知漏洞已成为安全的关键指标。已知漏洞虽然是一个重要信号，但通常会涵盖善意的开发人员所犯的错误。这些错误可能会被攻击者利用，应该予以修复，但它们很难涵盖依赖 OSS 所包含的全部风险。

CVE 无法捕获运营风险（例如由过时或未维护的软件引入的风险）或下一代供应链攻击（例如名称混淆攻击）。正如 Synopsys 最近的开源安全和风险分析报告所强调的那样，这些风险是巨大的：

89% 的代码库包含已过时 4 年以上的 OSS
91% 的代码库包含两年多没有新开发的组件

若想了解更多关于Synopsys 2024年开源安全和风险分析报告的细节可以参阅博主前期文章《解读】Synopsys发布2024年开源安全和风险分析报告OSSRA》

Endor Labs的Station 9研究团队在The State of Dependency Management上发现，95%的漏洞存在于传递依赖（开发者选择的OSS自动引入的软件包）中。其中，许多实际上无法访问，或者如果更新，将导致不兼容的毁灭性连锁反应。该列表经过同行评审并由 20 多名 CISO 和 CTO 贡献，团队力求找到安全和开发团队应做好应对的最高风险（包括运营和安全）。

2. 开源软件十大安全风险

序号	名称	描述
OSS-RISK-1	已知漏洞	组件版本可能包含由其开发人员意外引入的易受攻击的代码。漏洞详细信息是公开披露的，例如通过 CVE、GitHub 安全公告或其他更非正式的沟通渠道。漏洞和补丁可能可用，也可能不可用。
OSS-RISK-2	合法软件包的泄露	攻击者可能会损害现有合法项目或分发基础设施的资源，以便将恶意代码注入到组件中，例如通过劫持合法项目维护者的帐户或利用漏洞在包存储库中。
OSS-RISK-3	名称混淆攻击	攻击者可能会创建名称与合法开源或系统组件名称相似的组件（抢注）、建议值得信赖的作者（品牌劫持）或使用不同语言或生态系统中的常见命名模式（组合蹲）
OSS-RISK-4	未维护的软件	组件或组件版本可能不再被积极开发，因此，原始开源可能无法及时（或根本不）提供功能性和非功能性错误的补丁项目。
OSS-RISK-5	过时的软件	项目可能使用旧的、过时的组件版本（尽管存在较新的版本）
OSS-RISK-6	未跟踪的依赖关系	项目开发人员可能根本不知道对组件的依赖关系，例如，因为它不是上游组件的 SBOM 的一部分，因为 SCA 工具未运行或未检测到它，或者因为依赖关系不是使用包管理器建立的。
OSS-RISK-7	许可证风险	组件或项目可能根本没有许可证，或者与预期用途不兼容，或者其要求没有或无法满足。
OSS-RISK-8	不成熟软件	开源项目可能不应用开发最佳实践，例如，不使用标准版本控制方案、没有回归测试套件、审查指南或文档。因此，组件可能无法可靠或安全地工作。
OSS-RISK-9	未经批准的更改	组件可能会在开发人员无法注意到、审查或批准此类更改的情况下进行更改，例如，因为下载链接指向未版本化的资源、因为版本化的资源已被修改或篡改或由于不安全的数据传输。
OSS-RISK-10	依赖性过小/过大	组件可能提供很少的功能（例如 npm 微包）或很多功能（可能只使用其中的一小部分）。

3. 案例介绍

Sonatype的研究人员2022年报告了一个通过恶意Python包pymafka(pymafka软件包包含一个Python脚本，用于监视主机并确定其操作系统)进行的供应链攻击，该包被上传到流行的PyPI代码源。该软件包试图通过名称仿冒感染用户，希望寻找合法的"pykafka"软件包的受害者可能会打错查询语句而下载恶意软件。