2024 年全球终端用户在安全和风险 管理方面的支出预计将达到 2150 亿美元,较 2023 年增长 14.3%。
2023 年,全球安全研究人员报告了超过 2.6 万个新的 CVE(基于添加到 美国国家漏洞数据库的 CVE 数量,该数据库也是由 JFrog 安全研究团队审 查),需要应对的漏洞数量继续逐年递增。在通过开源生态系统引入漏洞方面,并非所有的软件技术都表现一样。虽然 Debian 和 RPM 的漏洞最多,但 npm 和 PyPI 的严重 CVE 漏洞占比最大,其次 是 Maven。大多数的 Debian 和 Alpine 代码库都是 C/C++ 代码和 Linux。 由于两者都是 Linux 系统,您很可能会在这两种软件包类型中 发现相同的漏洞,Debian 的漏洞更多,因为它的应用更为广 泛,贡献的软件包也更多。
在 2023 年发现的漏洞中,到目前为止最常见的通用缺陷 (CWE) 是那些影响前端的漏洞:跨站脚本、SQL 注入和越界写 入。自 2021 年以来,这三个漏洞始终跻身前五大最常见的潜 在漏洞之列。其中,跨站脚本在 CVE 中的发生率继续上升, 同比增长 28%。跨站请求伪造 (CSRF) 变得越来越普遍,在最 常见漏洞中的排名从 2021 年的第 9 位升至 2023 年的第 4 位。 回顾过去几年,我们可以发现,CWE 类型漏洞的同比增长趋势 很容易受到随机因素和其它噪音的影响。例如,通过分析过去 20 年的情况,我们会发现更有意义的趋势:低级编程语言和高 级编程语言的流行度会影响内存损坏漏洞和高级 web 漏洞的数 量。特定相关软件技术的兴起也会产生一定的影响。
2023 年,JFrog 安全研究团队分析 了 190 个热门 CVE,其中影响最大 的是拒绝服务攻击 (93),其次是远 程代码执行 (36)。其余 71 个 CVE 包括 过滤器绕过、数据泄漏和脚本代码注入等漏洞。在 对企业组织的影响方面,远程代码执行是攻击者梦 寐以求的漏洞,这个漏洞比 DoS 更严重,因为它 可能提供对后端系统的完全访问权限。 与 2022 年相比,热门 CVE 中的主要漏洞排名变 化不大,拒绝服务和远程代码执行位居前两位。相 比之下,身份验证绕过漏洞在 2023 年的流行度 大幅降低。 如果采用适当的应用程序和安全框架,某些漏洞本 身并不那么危险,但是像本地权限提升和身份验证 绕过这样的漏洞,如果与远程代码执行等其他漏洞 相结合,会让攻击者从 web 用户变成拥有系统 root 权限的用户。因此,对系统架构的设计应经 过深思熟虑,防止越界访问事件的发生。
美国国家漏洞数据库的 CVE 数据显示,在 2022 年 1 月至 2023 年 11 月,严重和低危 CVE 相对来说变化不大,但中 危和高危 CVE 有所增加。不过,并非所有的 CVE 评级都名副其 实。JFrog 安全研究团队定期评估 CVE,以确定其实际影响并进行 JFrog 严重程度评级。JFrog 严重程度评级由 JFrog 的 DevSecOps 专家制定,将可 利用漏洞的配置要求纳入考量。CVSS 评级只是着眼于漏洞被利用后的严重程 度,没有考虑漏洞的可利用程度。有 时,可利用漏洞的配置要求或利用方法 是针对特定软件包或依赖项的非标准设 置,有可能降低漏洞被利用的可能性。
此外,并不是所有的已知漏洞都能被利用。例如,JFrog 安全研究团 队发现,在 DockerHub 社区最受欢迎的 100 个镜像,CVSS 评分 为“高危”和“严重”的已知常见 CVE 中,有 74% 实际上是不可利用 的。从《2023 年 JFrog 安全研究报告》中可以看出,(图 9)这些 数据占比基本上保持稳定。
意外造成的 CVE 是开源软件供应链潜在风险的 最大来源,可以采取适当的预防措施来降低这 些风险。正如上文所述,软件包中存在 CVE 并 不一定意味着该软件包不能使用。也许更为重 要的是监控和防止恶意软件包进入您的软件供 应链,因为即使只是下载这些软件包也可能使 企业遭受攻击。例如,对 npm 的分析显示, 仅在 2022 年下半年到 2023 年上半年,引入 开源生态系统的恶意软件包数量就增加了一倍 有余(从 3134 增加到 6561)。
首席信息安全官及其团队知道,您从开源社区引入的软件包需要加以重点关注。JFrog 在与首席信息安全官、安全团队和 DevSecOps 团队进行交流时,我们也提醒他们,就应用程序的整体安全性而言,开源软件包并不是唯一一个需要注意的方面。
JFrog 安全研究团队扫描了最常见开源软件注册表中的数 百万个制品:npm、PyPI、RubyGems、crates.io 和 DockerHub(包括 Dockerfiles 和小型 Docker 层)。 到目前为止,令牌泄露最多的是 AWS、Telegram、 GitHub 和 OpenAI,与 2022 年的结果相比新增了 OpenAI,这是因为 AI/ML 模型的采用率开始提高。 同样值得注意的是,已泄露机密的总数同比有所减少。 理想情况下,这个数字应该更接近于零,因为从安全的 角度来看,这是相对容易实现的目标,而且市场上有大 量的机密检测工具。
