如何看待軟件供應鏈中的隱藏風險？

2024 年全球終端用戶在安全和風險 管理方面的支出預計將達到 2150 億美元，較 2023 年增長 14.3%。

2023 年，全球安全研究人員報告了超過 2.6 萬個新的 CVE（基于添加到 美國國家漏洞數據庫的 CVE 數量，該數據庫也是由 JFrog 安全研究團隊審 查），需要應對的漏洞數量繼續逐年遞增。在通過開源生態系統引入漏洞方面，并非所有的軟件技術都表現一樣。雖然 Debian 和 RPM 的漏洞最多，但 npm 和 PyPI 的嚴重 CVE 漏洞占比最大，其次 是 Maven。大多數的 Debian 和 Alpine 代碼庫都是 C/C++ 代碼和 Linux。 由于兩者都是 Linux 系統，您很可能會在這兩種軟件包類型中 發現相同的漏洞，Debian 的漏洞更多，因為它的應用更為廣 泛，貢獻的軟件包也更多。

在 2023 年發現的漏洞中，到目前為止最常見的通用缺陷 (CWE) 是那些影響前端的漏洞：跨站腳本、SQL 注入和越界寫 入。自 2021 年以來，這三個漏洞始終躋身前五大最常見的潛 在漏洞之列。其中，跨站腳本在 CVE 中的發生率繼續上升， 同比增長 28%。跨站請求偽造 (CSRF) 變得越來越普遍，在最 常見漏洞中的排名從 2021 年的第 9 位升至 2023 年的第 4 位。 回顧過去幾年，我們可以發現，CWE 類型漏洞的同比增長趨勢 很容易受到隨機因素和其它噪音的影響。例如，通過分析過去 20 年的情況，我們會發現更有意義的趨勢：低級編程語言和高 級編程語言的流行度會影響內存損壞漏洞和高級 web 漏洞的數 量。特定相關軟件技術的興起也會產生一定的影響。

2023 年，JFrog 安全研究團隊分析 了 190 個熱門 CVE，其中影響最大 的是拒絕服務攻擊 (93)，其次是遠 程代碼執行 (36)。其余 71 個 CVE 包括 過濾器繞過、數據泄漏和腳本代碼注入等漏洞。在 對企業組織的影響方面，遠程代碼執行是攻擊者夢 寐以求的漏洞，這個漏洞比 DoS 更嚴重，因為它 可能提供對后端系統的完全訪問權限。 與 2022 年相比，熱門 CVE 中的主要漏洞排名變 化不大，拒絕服務和遠程代碼執行位居前兩位。相 比之下，身份驗證繞過漏洞在 2023 年的流行度 大幅降低。 如果采用適當的應用程序和安全框架，某些漏洞本 身并不那么危險，但是像本地權限提升和身份驗證 繞過這樣的漏洞，如果與遠程代碼執行等其他漏洞 相結合，會讓攻擊者從 web 用戶變成擁有系統 root 權限的用戶。因此，對系統架構的設計應經 過深思熟慮，防止越界訪問事件的發生。

美國國家漏洞數據庫的 CVE 數據顯示，在 2022 年 1 月至 2023 年 11 月，嚴重和低危 CVE 相對來說變化不大，但中 危和高危 CVE 有所增加。不過，并非所有的 CVE 評級都名副其 實。JFrog 安全研究團隊定期評估 CVE，以確定其實際影響并進行 JFrog 嚴重程度評級。JFrog 嚴重程度評級由 JFrog 的 DevSecOps 專家制定，將可 利用漏洞的配置要求納入考量。CVSS 評級只是著眼于漏洞被利用后的嚴重程 度，沒有考慮漏洞的可利用程度。有 時，可利用漏洞的配置要求或利用方法 是針對特定軟件包或依賴項的非標準設 置，有可能降低漏洞被利用的可能性。

此外，并不是所有的已知漏洞都能被利用。例如，JFrog 安全研究團 隊發現，在 DockerHub 社區最受歡迎的 100 個鏡像，CVSS 評分 為“高危”和“嚴重”的已知常見 CVE 中，有 74% 實際上是不可利用 的。從《2023 年 JFrog 安全研究報告》中可以看出，（圖 9）這些 數據占比基本上保持穩定。

意外造成的 CVE 是開源軟件供應鏈潛在風險的 最大來源，可以采取適當的預防措施來降低這 些風險。正如上文所述，軟件包中存在 CVE 并 不一定意味著該軟件包不能使用。也許更為重 要的是監控和防止惡意軟件包進入您的軟件供 應鏈，因為即使只是下載這些軟件包也可能使 企業遭受攻擊。例如，對 npm 的分析顯示， 僅在 2022 年下半年到 2023 年上半年，引入 開源生態系統的惡意軟件包數量就增加了一倍 有余（從 3134 增加到 6561）。

首席信息安全官及其團隊知道，您從開源社區引入的軟件包需要加以重點關注。JFrog 在與首席信息安全官、安全團隊和 DevSecOps 團隊進行交流時，我們也提醒他們，就應用程序的整體安全性而言，開源軟件包并不是唯一一個需要注意的方面。

JFrog 安全研究團隊掃描了最常見開源軟件注冊表中的數 百萬個制品：npm、PyPI、RubyGems、crates.io 和 DockerHub（包括 Dockerfiles 和小型 Docker 層）。 到目前為止，令牌泄露最多的是 AWS、Telegram、 GitHub 和 OpenAI，與 2022 年的結果相比新增了 OpenAI，這是因為 AI/ML 模型的采用率開始提高。 同樣值得注意的是，已泄露機密的總數同比有所減少。 理想情況下，這個數字應該更接近于零，因為從安全的 角度來看，這是相對容易實現的目標，而且市場上有大 量的機密檢測工具。