几乎所有企业都与受陷第三方之间存在关联

数字化时代，软件无处不在。软件如同社会中的“虚拟人”，已经成为支撑社会正常运转的最基本元素之一，软件的安全性问题也正在成为当今社会的根本性、基础性问题。

随着软件产业的快速发展，软件供应链也越发复杂多元，复杂的软件供应链会引入一系列的安全问题，导致信息系统的整体安全防护难度越来越大。近年来，针对软件供应链的安全攻击事件一直呈快速增长态势，造成的危害也越来越严重。

为此，我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯，分析供应链安全风险，提供缓解建议，为供应链安全保驾护航。

注：以往发布的部分供应链安全相关内容，请见文末“推荐阅读”部分。

基于网络安全风险管理公司SecurityScorecard对超过23万家组织机构的安全评估，报告发现，一般一家企业与10家左右的第三方存在关联，与第四方存在数百个间接关联；一般企业的第四方合作伙伴数量是第三方合作伙伴数量的60到90倍。几乎所有企业 (98%) 都与至少一家受陷的第三方之间存在关联。

报告提到，IT行业的第三方合作伙伴数量最多，平均为25个，而金融行业的第三方合作伙伴数量最少，为6.5个。而提到第四方关系时，这些数据及其风险快速膨胀。一般企业与200家遭攻陷的第四方之间存在间接关联。

Cyentia Institute的创始人兼合伙人 Wade Baker指出，这项研究强调了企业所拥有数量庞大的第三方和第四方关系，而它们造成的风险也在增加。他提到，“风险在下沉。第一方的安全风险分数更有可能比第三方好，而到了第四方，这些数字急剧下降。你需要做好这些企业和产品达不到安全标准的准备。”产生这种情况的原因是，很多组织机构在自身的网络风险方面变得更加成熟，但少有机构认识到扩展风险的存在。报告指出，“很多组织机构仍然未意识到第三方关系中内在的依赖和暴露情况，而只是专注于管理自身的安全态势。其它组织机构意识到了这些问题的存在，但并未根据安全做出厂商决策以及/或要求厂商满足某些标准。甚至是那些设立了第三方安全要求的企业也在挣扎着继续监控合规性和进展情况。”

近年来，第三方风险和供应链风险已变成重大问题。首席信息安全官自从HAVC供应商受陷导致零售巨头Target数据泄露事件以来，对第三方提供商的关注越来越多。

虽然报告分析的是第三方风险，但第三方的概念不仅是厂商和合作伙伴，而且还包括软件提供商和开源项目。如今变得臭名昭著的软件供应商攻击如SolarWinds供应链事件和用户广泛的软件组件中的漏洞问题如Log4j等，使第三方相关风险凸显。

报告提到，第三方关系中牵涉的五大技术是 Google Analytics、Google Tag Manager、Amazon Web Hosting、PHP和Facebook 产品，这些技术出现在三分之二 (68%)的第三方关系中。

Baker 提到，“很多第三方和第四方关系仅因使用一款产品就均需遵从一定的策略，我们将自己暴露到了一定程度的风险之中。”

分析还发现，第三方的安全态势一般要弱于所服务企业。整体而言，第三方更有可能存在安全问题，也就是说企业无法假设所有第三方合作伙伴对于安全的态度和他们一样积极。

Baker 指出，“我的看法一样，我们都知道我们的权限太多了，一般而言人们对数据的权限多于所需权限。减少第三方的数量是个不错的做法，尤其是不需要这么多第三方的情况下，而且也可以更加精挑细选。”

然而，分析报告除了凸显该问题的重要性外，并未给出一个前进的清晰路径。例如，Baker并未建议组织机构缩减25%的底层第三方数量。他指出，更加实际的方法可能是加大对第三方的评估频率。他表示，“如果我们确实希望保护供应链的安全，那么我们必须让最弱的环节更强健。我认为分析报告说明第三方和第四方中存在很多薄弱环节，而这正是挑战之所在。”

在线阅读版：《2022中国软件供应链安全分析报告》全文

奇安信入选全球《软件成分分析全景图》代表厂商

在线阅读版：《2021中国软件供应链安全分析报告》全文

热门开源Dompdf PHP 库中存在严重漏洞

命令注入漏洞可导致思科设备遭接管，引发供应链攻击

命令注入漏洞可导致思科设备遭接管，引发供应链攻击

PyTorch 披露恶意依赖链攻陷事件

速修复！这个严重的 Apache Struts RCE 漏洞补丁不完整

Apache Cassandra 开源数据库软件修复高危RCE漏洞

美国国土安全部：Log4j 漏洞的影响将持续十年或更久

Apache Log4j任意代码执行漏洞安全风险通告第三次更新

PHP包管理器Composer组件 Packagist中存在漏洞，可导致软件供应链攻击

LofyGang 组织利用200个恶意NPM包投毒开源软件

软件和应用安全的六大金科玉律

美国政府发布关于“通过软件安全开发实践增强软件供应链安全”的备忘录（全文）

OpenSSF发布4份开源软件安全指南，涉及使用、开发、漏洞报告和包管理等环节

美国政府发布联邦机构软件安全法规要求，进一步提振IT供应链安全

美国软件供应链安全行动中的科技巨头们

Apache开源项目 Xalan-J 整数截断可导致任意代码执行

谷歌推出开源软件漏洞奖励计划，提振软件供应链安全

黑客攻陷Okta发动供应链攻击，影响130多家组织机构

Linux和谷歌联合推出安全开源奖励计划，最高奖励1万美元或更多

开源web应用中存在三个XSS漏洞，可导致系统遭攻陷

开源软件 LibreOffice 修复多个与宏、密码等相关的漏洞

Juniper Networks修复200多个第三方组件漏洞

美国国土安全部：Log4j 漏洞的影响将持续十年或更久

美国国土安全部：Log4j 漏洞的影响将持续十年或更久

PyPI 仓库中的恶意Python包将被盗AWS密钥发送至不安全的站点

开源项目 Parse Server 出现严重漏洞，影响苹果 Game Center

奇安信开源软件供应链安全技术应用方案获2022数博会“新技术”奖

更好的 DevSecOps，更安全的应用

他坦白：只是为了研究才劫持流行库的，你信吗？

热门PyPI 包 “ctx” 和 PHP库 “phpass” 长时间未更新遭劫持，用于窃取AWS密钥

从美行政令看软件供应链安全标准体系的构建

研究员发现针对 GitLab CI 管道的供应链攻击

五眼联盟：管理服务提供商遭受的供应链攻击不断增多

趁机买走热门包唯一维护人员的邮件域名，我差点发动npm 软件供应链攻击

RubyGems 包管理器中存在严重的 Gems 接管漏洞

美国商务部机构建议这样生成软件供应链 “身份证”

《软件供应商手册：SBOM的生成和提供》解读

和GitHub 打官司？热门包 SheetJS出走npmjs.com转向自有CDN

不满当免费劳力，NPM 热门库 “colors” 和 “faker” 的作者设无限循环

NPM流行包再起波澜：维护人员对俄罗斯用户发特定消息，谁来保证开源可信？

NPM逻辑缺陷可用于分发恶意包，触发供应链攻击

攻击者“完全自动化”发动NPM供应链攻击

200多个恶意NPM程序包针对Azure 开发人员，发动供应链攻击

哪些NPM仓库更易遭供应链攻击？研究员给出了预测指标

NPM 修复两个严重漏洞但无法确认是否已遭在野利用，可触发开源软件供应链攻击

热门NPM库 “coa” 和“rc” 接连遭劫持，影响全球的 React 管道

速修复！热门npm 库 netmask 被曝严重的软件供应链漏洞，已存在9年

25个恶意JavaScript 库通过NPM官方包仓库分发

Pwn2Own大赛回顾：利用开源服务中的严重漏洞，攻陷西部数据My Cloud PR4100

开源网站内容管理系统Micorweber存在XSS漏洞

热门开源后端软件Parse Server中存在严重的 RCE ，CVSS评分10分

开源组件11年未更新，严重漏洞使数百万安卓按设备易遭远程监控

开源工具 PrivateBin 修复XSS 漏洞

奇安信开源组件安全治理解决方案——开源卫士

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。