十大开源软件安全风险
Endor Labs Station 9 研究团队与来自 Adobe、HashiCorp、Discord 和 Palo Alto Networks 等公司的 20 多位 CISO 和 CTO 合作,总结了因依赖开源软件而引入的 10 大安全和运营风险。 “尽管软件供应链严重依赖 OSS,但该行业缺乏一致的方式来理解和衡量 OSS 的风险。OSS 中的风险管理从许可证管理开始,然后演变为 CVE,但我们仍然缺乏包含安全、法律和应用程序弹性的整体 OSS 风险管理方法。” 十大 OSS 风险具体包括: 风险 描述 类别 OSS-RISK-1 已知漏洞 组件版本可能包含易受攻击的代码,由其开发人员意外引入。漏洞详细信息已公开,例如通过 CVE。漏洞和补丁可能可用也可能不可用。 Security OSS-RISK-2 合法包的妥协 攻击者可能会破坏作为现有合法项目或分销基础架构的一部分的资源,以便将恶意代码注入组件,例如,通过劫持合法项目维护者的帐户或利用包存储库中的漏洞。 Security OSS-RISK-3名称混淆攻击 攻击者可能会创建名称类似于合法开源或系统组件名称的组件(bran...
