中国南京麒麟科技创新园
新闻中心

园区动态

开源软件供应链重大基础设施建设取得进展

发布时间:2022-06-21 10:00来源:麒麟科技创新园开发建设管委会

开源软件供应链重大基础设施建设取得阶段性进展,初步完成供应链安全分析平台建设,实现面向全网针对开源生态“投毒”攻击威胁现象的持续监测,取得一系列研究成果。

开源生态“投毒”攻击是指攻击者利用软件供应商与最终用户之间的信任关系,在合法软件的开发、传播和升级过程中进行劫持或篡改,从而达到非法目的的攻击类型。

许多开源软件存储库在设计时强调方便快捷,却忽略了恶意代码检测机制,从而导致开源生态“投毒”攻击现象越来越严重。鉴于当前超过99%的商业软件包含开源软件,一旦具有大规模用户基础的开源软件存在安全漏洞,势必会影响整个软件产业、甚至其他重要行业的供应链安全。

基于开源软件供应链重大基础设施,中科院软件所、中科南京软件技术研究院科研团队对开源生态“投毒”攻击现象进行了持续监测,对开源软件存储库开展了全面检测,发现了大量开源软件安全漏洞。

团队对国际主流编程语言Python存储库进行了恶意扩展包检测,截至目前已累计检测出Python官方扩展包仓库上传的恶意包8个,包含隐秘恶意代码,存在巨大安全隐患,如窃取隐私信息和数字货币密钥、种植持久化后门、远程控制等攻击活动,一旦被恶意使用,可能造成网络安全、金融等领域重大损失。该成果已提交PyPI官方,并收到PyPI官方感谢信。

团队对第三方插入的代码执行后门的扩展包进行了传播性检测,累计发现被“投毒”成功的开源项目707个,其中85个发布在Python官方扩展包仓库,622个发布在公共代码托管平台GitHub、GitLab。该成果正在反馈国家信息安全漏洞共享平台(CNVD)、国家信息安全漏洞库(CNNVD)等安全漏洞管理机构,其中17个现已获得正式漏洞编号。

开源软件供应链重大基础设施旨在应对开源生态存在的风险,建设国内首个集开源软件采集存储、开发测试、集成发布、运维升级等一体化设施,打造全球最大的开源代码知识图谱和开源软件供应链体系,以保障我国开源软件供给安全和产业创新发展。

开源软件供应链重大基础设施将持续推进开源软件及其供应链的自主可控与安全可靠,逐步形成维护与指导开源生态健康发展的能力,有效支撑国内各行业的开源应用场景。

中国南京麒麟科技创新园

中国南京麒麟科技创新园 版权所有 - 苏ICP备12028892号

地址:中国 南京 麒麟科技创新园 智汇路300号 邮编:211135 招商投资电话:025-68532197 68532258