基于开源程序漏洞的攻击在2017年将增长20% (基于开源程序的软件)

现在，无论是商业软件还是程序员自行开发的小程序，开源代码已经变得越来越普遍了，而开源似乎也已经成为了一种趋势。但需要注意的是，Black Duck软件公司的研究人员根据他们对开源项目所收集到的统计数据预测到，基于开源软件漏洞的网络攻击活动数量在2017年将增长20%。

Black Duck软件公司的安全策略副总裁Mike Pittenger表示，商业软件项目的免费版本数量已经超过了50%甚至更多，而开源软件产品所占比重从2011年的3%增长到了现在的33%。平均每一款商业软件都会使用超过100个开源组件，而且三分之二的商业应用代码中已知是存在安全漏洞的。

最糟糕的是，买家和用户通常都没有办法知道他们所购买的产品使用了哪些开源组件。一般来说，公司在这一方面做的都不是很到位，有些公司可能会给客户提供一份产品组件清单，但这些清单所名列出的组件数量和类型往往是不完整的。如果你打算在没有得到厂商允许的情况下对产品代码进行分析，那么你很有可能会违反他们的产品许可协议，而这将会给你带来一大堆麻烦，所以我们不建议用户这样做。但是由于行业地位和影响力等因素，某些大型企业在购买第三方软件产品时会要求厂商提供产品的完整技术细节，并且还会请类似Black Duck这样的第三方厂商来对产品代码进行安全审查。

Pittenger认为，避免使用开源软件其实并不可取。很多开源代码库的开发是完全符合行业标准的，而重复造车轮绝对是在浪费时间，这样不仅会延迟产品的上市时间，而且还会使公司的行业竞争力大大降低。因此，越来越多的商业软件开发商会开始在自己的产品中使用开源代码，而这种趋势目前正在加速发展。

目前，任何一个活跃的开源项目背后都有社区的积极支持，而这将会给这款产品带来可靠的安全保证和稳定的功能更新。在某些情况下，如何某款产品允许用户自行对软件源码进行安全审计，或者可以对该产品进行高度定制，那么将会对产品的安全性提升有很大的帮助。就我们的经验来看，如果某一款商业工具可以做到这件事情的话，那么肯定会有相应的开源工具可以做到同样的事情。

但是，这种“多渠道”的漏洞检查方法并不总是百分之百有效的，仍然会有很多开源代码中的漏洞会成为漏网之鱼。

AlienVault公司的安全顾问Javvad Malik表示：

因此，管理开源组件的问题已经成为了一个非常棘手的问题，而且网络犯罪分子们似乎也已经意识到了这一点，并逐渐开始利用我们的这一薄弱点来实施攻击。

在目前的互联网中，开源代码几乎无处不在，所以攻击者只需要利用一个漏洞就可以攻击大量的目标。对开源代码的追踪其实是非常困难的，隐私用户通常无法对产品中的开源代码进行及时地修复和更新，所以攻击者就可以利用很多已知的漏洞和安全研究专家所发布的漏洞PoC来实施攻击。

除此之外，物联网在去年也得到了非常迅速的发展，而物联网设备的安全性也成为了目前的一个令人头疼的问题。毫无疑问，这个问题在2017年仍将困扰着我们。

Malik认为，现在很多智能设备和物联网设备都会使用大量的开源工具，而臭名昭著的Mirai僵尸网络就是一个很好的例证。

与此同时，开发人员通常都不会去检测开源代码中的安全漏洞，而且有时候迫于产品开发期限的压力，他们明知代码中存在安全问题，却仍然选择直接使用它们。这也就意味着，即便是开源项目的维护人员及时发布了更新，外面也仍然存在很多未打补丁的产品。当你的新产品使用了旧版本的开源组件时，你的新产品中也会存在已知的安全漏洞。而且据统计数据显示，商业软件项目中的安全漏洞平均年龄为五年，有些产品中的某一漏洞甚至存在了有十年之久。

OpenSSL代码库中的Heartbleed漏洞在2014年初被发现，而该漏洞的曝光也引起了业界的广泛关注。但是在去年，仍然有10%左右的应用软件正在使用包含漏洞的OpenSSL版本。而且Pittenger表示，安全研究专家平均每一年都可以在开源软件中找出2000到4000个安全漏洞。

解决这个问题则需要软件厂商和广大客户的共同努力，而且企业的软件开发人员也需要培养良好的安全意识。但我们应该做好心理准备，因为在情况好转之前，目前的安全状况只会变得更加糟糕。

软件供应链安全及防护工具研究

文中国信息通信研究院云计算与大数据研究所云计算部工程师 吴江伟

随着 5G、云计算、人工智能、大数据、区块链等技术的日新月异，数字化转型进程逐步推进，软件已经成为日常生产生活必备要素之一，渗透到各个行业和领域。 容器、中间件、微服务等技术的演进推动软件行业快速发展，同时带来软件设计开发复杂度不断提升，软件供应链也愈发复杂，全链路安全防护难度不断加大。 近年来，软件供应链安全事件频发，对于用户隐私、财产安全乃至国家安全造成重大威胁，自动化安全工具是进行软件供应链安全防御的必要方式之一，针对软件供应链安全及工具进行研究意义重大，对于维护国家网络空间安全，保护用户隐私、财产安全作用深远。

一、软件供应链安全综述

软件供应链定义由传统供应链的概念延伸扩展而来。 业界普遍认为，软件供应链指一个通过一级或多级软件设计、开发阶段编写软件，并通过软件交付渠道将软件从软件供应商送往软件用户的系统。 软件供应链安全指软件供应链上软件设计与开发的各个阶段中来自本身的编码过程、工具、设备或供应链上游的代码、模块和服务的安全，以及软件交付渠道安全的总和。 软件供应链攻击具有低成本、高效率的特点，根据其定义可知，相比传统针对软件自身安全漏洞的攻击，针对软件供应链，受攻击面由软件自身扩展为了软件自身内部的所有代码、模块和服务及与这些模块、服务相关的供应链上游供应商的编码过程、开发工具、设备，显著降低了攻击者的攻击难度。 同时，软件设计和开发所产生的任何安全问题都会直接影响供应链中所有下游软件的安全，扩大了攻击所造成的影响。

近年来，软件自身安全防御力度不断加大，攻击者把攻击目标由目标软件转移到软件供应链最薄弱的环节，软件供应链安全事件频发，对用户隐私及财产安全乃至国家安全造成重大威胁。 最典型的如 2020 年 12 月，美国网络安全管理软件供应商“太阳风”公司（SolarWinds）遭遇国家级 APT 组织高度复杂的供应链攻击，直接导致包括美国关键基础设施、军队、政府等在内的超过 家客户全部受到影响，可任由攻击者完全操控。

软件供应链安全影响重大，各国高度重视，纷纷推行政策法规推动软件供应链安全保护工作。 2021 年 5 月 12 日，美国总统拜登签署发布《改善国家网络安全行政令》，明确提出改善软件供应链安全，要求为出售给政府的软件开发建立基线安全标准，不仅提供应用程序，而且还必须提供软件物料清单，提升组成该应用程序组件的透明度，构建更有弹性且安全的软件供应链环境，确保美国的国家安全。 同年 7 月，美国国家标准与技术所（NIST）发布《开发者软件验证最低标准指南》，为加强软件供应链安全加码，明确提出关于软件验证的 11 条建议，包括一致性自动化测试，将手动测试最少化，利用静态代码扫描查找重要漏洞，解决被包含代码（库、程序包、服务）等。

我国对软件供应链安全问题也给予了高度重视，2017 年 6 月，我国发布实施《网络产品和服务安全审查办法》，将软件产品测试、交付、技术支持过程中的供应链安全风险作为重点审查内容。 2019 年12 月 1 日，《信息安全技术 网络安全等级保护基本要求》2.0 版本正式实施，在通用要求及云计算扩展部分明确要求服务供应商选择及供应链管理。

二、软件供应链安全挑战

目前，软件供应链安全受到高度重视，但仍面临多重现实挑战，可以总结分为以下五大类。

1. 软件设计开发复杂化成为必然趋势

随着容器、中间件、微服务等新技术的演进，软件行业快速发展，软件功能及性能需求也不断提升，软件设计开发复杂化已经成为必然趋势。 这一现状同时带来了软件设计、开发及维护难度陡增，设计与开发过程不可避免的产生安全漏洞，为软件供应链安全埋下隐患。

2. 开源成为主流开发模式

当前，开源已经成为主流开发模式之一，软件的源代码大多数是混源代码，由企业自主开发的源代码和开源代码共同组成。 根据新思 科技 《2021 年开源安全和风险分析》报告显示，近 5 年，开源代码在应用程序中所占比例由 40% 增至超过 70%。 开源的引入加快了软件的研发效率，但同时也将开源软件的安全问题引入了软件供应链，导致软件供应链安全问题多元化。

3. 快速交付位于第一优先级

由于业界竞争环境激烈，相较于安全，功能快速实现，软件快速交付仍处于第一优先级，虽然软件通常实现了安全的基本功能需求，如身份认证鉴权、加解密、日志安全审计等，但整体安全防护机制相对滞后，以后期防护为主，前期自身安全性同步建设往往被忽视，软件自身代码安全漏洞前期清除存在短板。

4. 软件交付机制面临安全隐患

软件交付指软件由软件供应商转移到软件用户的过程。 传统软件交付以光盘等存储设备为载体，随着互联网等技术的发展，通过网络对于软件进行快速分发已经成为基本模式，不安全的分发渠道同样会对软件供应链安全产生重大影响。

5. 使用时软件补丁网站攻击

针对软件供应链安全防护，软件的生命周期并非结束于软件交付之后，而是直到软件停用下线。 软件在设计及开发过程中难免存在安全缺陷，通过补丁下发部署是修复软件缺陷漏洞的最通用方式。 软件补丁的下发部署同样受分发渠道影响，受污染的补丁下载站点同样会造成软件供应链安全问题。

三、软件供应链安全防护工具

软件供应链安全涉及众多元素及环节，参考业界常见划分，软件供应链环节可抽象成开发环节、交付环节、使用环节三部分。 针对交付环节及使用环节安全防护，主要通过确保分发站点及传输渠道安全。 开发环节与软件源代码紧密相关，安全防护较为复杂，囊括编码过程、工具、设备及供应链上游的代码、模块和服务的安全，涉及四类安全工具，包括软件生产过程中的工具和软件供应链管理工具。

1. 静态应用程序安全测试工具

静态应用程序安全测试（SAST）是指不运行被测程序本身，仅通过分析或者检查源程序的语法、结构、过程、接口等来检查程序的正确性。 源代码静态分析技术的发展与编译技术和计算机硬件设备的进步息息相关，源代码安全分析技术多是在编译技术或程序验证技术的基础上提出的，利用此类技术能够自动地发现代码中的安全缺陷和违背安全规则的情况。 目前，主流分析技术包括：（1）词法分析技术，只对代码的文本或 token 流与已知归纳好的缺陷模式进行相似匹配，不深入分析代码的语义和代码上下文。 词法分析检测效率较高，但是只能找到简单的缺陷，并且误报率较高。 （2）抽象解释技术，用于证明某段代码没有错误，但不保证报告错误的真实性。 该技术的基本原理是将程序变量的值映射到更加简单的抽象域上并模拟程序的执行情况。 因此，该技术的精度和性能取决于抽象域对真实程序值域的近似情况。 （3）程序模拟技术，模拟程序执行得到所有执行状态，分析结果较为精确，主要用于查找逻辑复杂和触发条件苛刻的缺陷，但性能提高难度大。 主要包括模型检查和符号执行两种技术，模型检查将软件构造为状态机或者有向图等抽象模型，并使用模态/时序逻辑公式等形式化的表达式来描述安全属性，对模型遍历验证这些属性是否满足；符号执行使用符号值表示程序变量值，并模拟程序的执行来查找满足漏洞检测规则的情况。 （4）定理证明技术，将程序错误的前提和程序本身描述成一组逻辑表达式，然后基于可满足性理论并利用约束求解器求得可能导致程序错误的执行路径。 该方法较为灵活性，能够使用逻辑公式方便地描述软件缺陷，并可根据分析性能和精度的不同要求调整约束条件，对于大型工业级软件的分析较为有效。 （5）数据流分析技术，基于控制流图，按照某种方式扫面控制流图的每一条指令，试图理解指令行为，以此判断程序中存在的威胁漏洞。 数据流分析的通用方法是在控制流图上定义一组方程并迭代求解，一般分为正向传播和逆向传播，正向传播就是沿着控制流路径，状态向前传递，前驱块的值传到后继块；逆向传播就是逆着控制流路径，后继块的值反向传给前驱块。

2. 动态应用程序安全测试工具

动态应用程序安全测试（DAST）技术在测试或运行阶段分析应用程序的动态运行状态。 它模拟黑客行为对应用程序进行动态攻击，分析应用程序的反应，从而确定该应用是否易受攻击。 以 Web 网站测试为例对动态应用程序安全测试进行介绍，主要包括三个方面的内容：（1）信息收集。 测试开始前，收集待测试网站的全部 URL，包括静态资源和动态接口等，每一条 URL 需要包含路径和完整的参数信息。 （2）测试过程。 测试人员将测试所需的 URL列表导入到测试工具中。 测试工具提供“检测风险项”的选择列表，测试人员可根据测试计划选择不同的风险检测项。 测试工具在测试过程中，对访问目标网站的速度进行控制，保证目标网站不会因为同一时刻的请求数过高，导致网站响应变慢或崩溃。 测试人员在设定测试任务的基本信息时，根据目标网站的性能情况填入“每秒请求数”的最大值。 测试工具在测试过程中保证每秒发送请求的总数不超过该数值。 （3）测试报告。 在安全测试各步骤都完成后，输出测试报告。 测试报告一般包含总览页面，内容包括根据测试过程产生的各种数据，输出目标网站安全性的概要性结论；测试过程发现的总漏洞数，以及按照不同安全等级维度进行统计的漏洞数据。

3. 交互式应用程序安全测试工具

交互式应用程序安全测试（IAST）通过插桩技术，基于请求及运行时上下文综合分析，高效、准确地识别安全缺陷及漏洞，确定安全缺陷及漏洞所在的代码位置，主要在三方面做工作：流量采集、Agent监控、交互扫描。 （1）流量采集，指采集应用程序测试过程中的 HTTP/HTTPS 请求流量，采集可以通过代理层或者服务端 Agent。 采集到的流量是测试人员提交的带有授权信息有效数据，能够最大程度避免传统扫描中因为测试目标权限问题、多步骤问题导致扫描无效；同时，流量采集可以省去爬虫功能，避免测试目标爬虫无法爬取到导致的扫描漏水问题。 （2）Agent 监控，指部署在 Web 服务端的 Agent 程序，一般是 Web 服务编程语言的扩展程序，Agent通过扩展程序监控 Web 应用程序性运行时的函数执行，包括 sql 查询函数、命令执行函数、代码执行函数、反序列化函数、文件操作函数、网络操作函数，以及 XML 解析函数等有可能触发漏洞利用的敏感函数。 （3）交互扫描，指 Web 应用漏洞扫描器通过Agent 监控辅助，只需要重放少量采集到的请求流量，且重放时附带扫描器标记，即可完成对 Web 应用程序漏洞的检测。 例如，在检测 SQL 注入漏洞时，单个参数检测，知名开源 SQL 注入检测程序 SQLMAP需要发送上千个 HTTP 请求数据包；交互扫描只需要重放一个请求，附带上扫描器标记，Agent 监控SQL 查询函数中的扫描器标记，即可判断是否存在漏洞，大大减少了扫描发包量。

4. 软件组成分析软件组成分析

（SCA）主要针对开源组件，通过扫描识别开源组件，获取组件安全漏洞信息、许可证等信息，避免安全与法律法规风险。 现有的开源组成扫描技术分为五种。 （1）通过进行源代码片段式比对来识别组件并识别许可证类型。 （2）对文件级别提取哈希值，进行文件级哈希值比对，若全部文件哈希值全部匹配成功则开源组件被识别。 （3）通过扫描包配置文件读取信息，进行组件识别从而识别组件并识别许可证类型。 （4）对开源项目的文件目录和结构进行解析，分析开源组件路径和开源组件依赖。 （5）通过编译开源项目并对编译后的开源项目进行依赖分析，这种方式可以识别用在开源项目中的开源组件信息。

四、软件供应链安全研究建议

1. 发展软件安全工具相关技术

软件供应链安全防护的落地离不开安全工具的发展使用。 大力发展软件安全工具技术，解决安全开发难点需求，进行安全前置，实现安全保护措施与软件设计、开发同步推进。

2. 提升软件供应链安全事件的防护、检测和响应能力

软件供应链安全防护需要事前、事中、事后的全方位安全防御体系。 软件供应链安全攻击事件具有隐蔽性高、传播性强、影响程度深的特点，软件供应链作为一个复杂、庞大的系统，难免存在脆弱节点，应提升对软件供应链安全攻击事件的防护、检测和响应能力，避免安全事件造成重大影响。

3. 构建完善软件供应链安全相关标准体系

通过科研院所及标准机构完善软件供应链安全标准体系，普及软件供应链安全防范意识，提升企业组织对软件供应链安全的重视程度，进行软件供应链安全投入，推进安全建设工作落实。

4. 建立软件供应链安全可信生态

实现软件供应链安全需要各领域企业的共同努力。 企业共建安全可信生态将满足不同用户、不同行业、不同场景的安全可信需求，提升业界整体软件供应链安全水平。

（本文刊登于《中国信息安全》杂志2021年第10期）

trc20和erc20有什么区别

USDT-TRC20地址是以T开头，USDT-ERC20地址是以0x开头;USDT-ERC20(以太坊)、 USDT-TRC20(波场)是采用不同的协议，属于不同的区块链网络;USDT-ERC20安全性较高，USDT-TRC20安全性相对较低。USDT是Tether公司推出的基于稳定价值货币美元

(USD)的代币Tether USD，1USDT=1美元，用户可以随时使用USDT与USD进行1:1兑换。 区块链是一个共享数据库，存储于其中的数据或信息，具有“不可伪造”“全程留痕”“可以追溯’“公开透明”“集体维护”等特征。 基敏升于这些特征，区块链起源于比特币。

【拓展资料】

比特币(Bitcoin)的概念最初由中本聪在2008年11月1日提出，并于2009年1月3日正式诞生。 总量为2100万个，2017年12月17日，比特币达到历史最高价美元，后续回落。 2020年11月13日，比特币价格再次突破美元。 莱特币 (Litecoin， LTC) 是受比特币(BitCoin， BTC) 的启发而推出的改进版数字货币，由一名曾任职于谷歌的程序员设计并编程实现 ， 2011年11月9日发布运行。 莱特币与比特币在技术上具有相同的实现原理，但莱特币的创造和转让基于一种开源的加密协议，不受到任何中央机构的管理 。

在货币安全方面，莱特币的开发过程和支付过程都具有超过普通货币的安全性。 在开发过程中，它不可能被伪造，莱特币是一连串复杂的求解代码，它通过挖矿来获得货币而不是印刷，这从根本上杜绝了“假币”的产生，这是它的优点之一。 在支付过程中莱特币使用地址和私钥来交易猛纤，这好比密码和钥匙，这些地址和私匙的组合排列有上亿种可能，很难破解，提高了安全性。

不桥知老过即使是非中心化的支付系统，莱特币系统仍然受到“51%Attack”的威胁，即使用全网的51%以上的算力进行运算构建一个区域链与全网赛跑，一旦成功将能掌控莱特币，这将造成严重的后果。 虽然“51%Attack”发生的概率很小，但是对于一个公共虚拟货币系统来说，这样的漏洞是不应该被容忍的 。

区块链trc20是什么链

属于比特币种。 塔罗币(简称TRC)是由以太坊研发团队及比特币核心技术人员，共同组成的塔罗矿工联盟。 积淀3年的研究，历时2年共同开发出的成果。 其中有来自美国硅谷的顶尖技术团队、有以色列顶尖技术团队、结合了人工智能、云计算等等时下最新技术，成功打造出去中心化的应用型生态系统。 是目前区块链技术的最高表现、该系统的强大诞生，将启动区块链技术的4.0时代。 代表着技术迭代后，发展的最前沿。 塔罗币，简称TRC，全称TaroCion总量2100万枚1研发团队200万枚2各社区，工作人员100万枚万通过市场挖矿获取2.对接imtoken钱包1可售余额，可提币到imtoken钱包，手续费10%，用户与用户间，可通过imtoken互转TRC，imtoken钱包的TRC可冲值到矿机钱包模式及制度1.免费注册，获得一台微型矿机。

拓展资料

20是rc20usdt联合发行的面向泰达公司波场Tron和缆绳的稳定货币渠道。 与以前的稳定货币omniusdt和erc20usdt相比，trc20usdt大大优化了转账费用和交易确认速度。 在费用方面，trc20-usdt可以实现免费转账。 从主流交易所的提现费用来看，基于Omni协议的usdt提现费用最高，在4-10美元之间，erc-20提现费用在1-5美元之间，trc20-usdt提现费用为0，即用户可以免费享受兑换提现服务。 在交易确认速度方面，基于波场网络的usdt充分发挥了第三代公链的性能优势。 波场网络的TPS可达数千级，实现事务二级确认，优于Omni和erc20。 极高的传输速度可以满足稳定货币用户的多样化需求，避免网络拥堵对投资者利益造成损害。

20是rc20usdt联合发行的面向泰达公司波场Tron和缆绳的稳定货币渠道。 与以前的稳定货币omniusdt和erc20usdt相比，trc20usdt大大优化了转账费用和交易确认速度。 在费用方面，trc20-usdt可以实现免费转账。 从主流交易所的提现费用来看，基于Omni协议的usdt提现费用最高，在4-10美元之间，erc-20提现费用在1-5美元之间，trc20-usdt提现费用为0，即用户可以免费享受兑换提现服务。 在交易确认速度方面，基于波场网络的usdt充分发挥了第三代公链的性能优势。 波场网络的TPS可达数千级，实现事务二级确认，优于Omni和erc20。 极高的传输速度可以满足稳定货币用户的多样化需求，避免网络拥堵对投资者利益造成损害。 trc20的特点:Trc-20协议是由erc-20转换而来的，但它有更强的社区支持。 它不仅可以运行支持波场Tron的智能合约，还可以支持以太坊智能合约。