数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。
随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。近年来,针对软件供应链的安全攻击事件一直呈快速增长态势,造成的危害也越来越严重。
2020 年 4 月,Rubygems 开源软件包生态系统被放入了数百个恶意软件包,这些恶意软件包的下载总量近 10 万次。例如,“atlasclient”是一个诱骗的诱饵程序包,用来仿冒“atlas_client”,被下载了超过 2100 次。
2020 年 5 月,GitHub 披露了针对 Apache NetBeans IDE 项目的开源软件供应链攻击 Octopus Scanner,最终统计显示,有 26 个开源项目被植入了 Octopus Scanner 后门。
2020 年 12 月,全球著名的网络安全管理软件供应商 SolarWinds遭遇国家级 APT 团伙高度复杂的供应链攻击。该攻击直接导致包括美国关键基础设施、军队、政府等在内的超过 18000 家客户全部受到影响,可任由攻击者完全操控。
关注微信
