摘要
SonarQube被黑客攻破,是时候选择可靠的国产软件替代。
开源的代码质量管理平台 SonarQube 日前被黑客攻破,使得很多公司和机构开始紧急排查其设备或系统是否集成了 SonarQube,其中不乏一些国家机关单位,这次算得上是今年又一起影响较大的开源软件供应链攻击事件。
SonarQube 事件回溯
10月20日,黑客入侵了知名企业博世 iSite 服务器,窃取了 5G 物联 连接平台的源码;
早在2020年7月,美国媒体 BleepingComputer 已有 道:瑞士安全研究员Tillie Kottmann 通过 SonarQube 的漏洞获取了50多家知名企业的源代码,其中包括微软、Adobe、联想、高通、摩托罗拉、AMD等大厂,并在 GitLab 公开库中发布出来。
高危漏洞:SonarQube 未授权访问
SonarQube 是一种开源的代码质量管理平台,可以集成不同的测试工具、代码分析工具以及持续集成工具。通过不同的插件对分析结果进行再加工处理,通过量化的方式度量代码质量的变化,并将结果展现到 SonarQube 可视化界面。
SonarQube 系统存在未授权访问漏洞,缺少对 API 接口访问的鉴权控制。该漏洞是由于 SonarQube 系统配置不当,导致平台项目暴露在公 当中,攻击者利用该漏洞在未授权的情况下访问公 API 接口,使用系统默认配置口令进入平台,下载源代码文件,获取系统敏感信息。
CNVD 将该漏洞的危害级别评为“高危”,目前该漏洞 (CNVD-2021-84502)已被收录进了国家信息安全漏洞共享平台(CNVD)。
替代 SonarQube 成必然
去年的事件显然没有在国内引起关注,也没有针对该漏洞进行及时的防范,才所导致了此次开源软件供应链攻击。
为什么这次 SonarQube 事件对国家信息安全的威胁巨大是国内使用 SonarQube 进行软件开发的公司和机构非常多。通过采招 等招投标 站查询,发现招标采购内容中包含 SonarQube 的项目很多。
比如:广西卫生监控数据中台建设招标、贵阳银行信息科技管理平台一起建设项目、银联商务代码质量管理工具、河北医疗保障局开发运维一体化平台、北京航空航天大学计算机学院项目、广东电 有限责任公司项目、工信部电子五所一体化研发仿真环境采购项目、中信银行内控合规一体化管理平台建设项目、北京海关总署新一代海关通关管理系统、上海银行质量服务平台和分布式支撑服务项目、中国科学院信息工程研究所源代码安全扫描软件项目、华泰证券软件产品采购项目、上海科技信息管理平台项目、中国太平洋保险(集团)制品库软件、湖南省税务局应用系统运维巡检与审查系统等都涉及 SonarQube 采购和应用。
这次攻击迫使国内很多机构的项目急寻可替代 SonarQube 的产品,应用存在漏洞的开源软件显然成为了威胁公司安全的重大隐患,对于机关单位来说更是成为了危害国家信息安全的毒瘤。
开源软件 VS 商业化软件
然而,国产软件是否有能力承接这项任务,还需要对国产软件公司的实力进行对比。在国家政策和国际安全形势的驱动下,很多国产软件公司借势而起,尤其是在同类可选产品众多的情况下,如何选择可靠的国产软件也成为了一项难题。
面对同类产品的选择,既要对比功能、性能、价格等条件,也要深入考量国产软件公司的服务支持能力,甚至考虑其是否应用了安全开发流程,来保障软件自身安全。
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!