标签:国家标准 pid ash 级别 关键词 info 网络 auto 函数
近日,据相关媒体报道,美网络安全公司Rapid7遭受Codecov供应链攻击,在这次网络安全攻击事件中,部分源代码存储库遭泄漏。
内部凭证和工具源代码遭恶意访问
受攻击的网络安全公司称,攻击者通过扫描代码缺陷成功访问了部分存储库和内部凭证,其中包括公司的托管检测,还有响应(MDR)服务内部工具的源代码。目前这些凭证已被轮换,此外还包括一部分客户的相关数据。值得庆幸的是,攻击者并没有访问其他公司系统或生产运行环境,未对这些存储库进行植入或更改。
虽然这家网络安全公司补充说明了被黑客入侵的Codecov工具并未用于其生产代码,很大程度上避免了因其安全漏洞导致的重大影响,但可以预见的是,软件安全漏洞正严重威胁着个人、企业甚至国家的信息安全。
本次网络攻击所带来的影响
Codecov声称未知攻击者恶意更改了其Bash Uploader脚本,黑客可以从客户的持续集成(CI)环境中收集如凭据、令牌或API密钥等敏感信息,并将其发送到第三方服务器上。经调查发现,黑客将盗取的开发人员凭证经测试自动化成功入侵了上百个客户的网络环境中。受此次网络安全事件影响,Codecov某客户表示,用于签名和验证软件版本的代码签名GPG私钥已在网络攻击中暴露。
“在互联网上失去对源代码的控制,就像把银行的设计图交给抢劫犯一样。”源代码泄漏所造成的影响将不可估量,因此保障源代码安全是保证核心数据安全的基础。
随着应用科技发展,网络安全防御着手点已逐步从防火墙、杀毒软件转向加强源代码安全,静态代码安全检测(SAST)的有效性悄然提升。一方面,静态代码安全检测能够快速准确地检测所有的代码级别可执行路径组合,另一方面,在企业软件开发阶段应用静态代码安全检测,可以帮助开发人员进行快速查找代码编写过程中出现的技术/逻辑漏洞,并识别、追踪有可能因代码规范/缺陷造成的安全漏洞,在开发早期进行代码漏洞预警与修复,降低软件在运行后产生的漏洞风险,提升抵御网络攻击的安全能力,极大程度上保证了代码的安全性。
中科天齐的Wukong(悟空)静态代码安全检测工具,从性能上来看误报率在10%左右,拥有60万行/小时的检测速度,速度快误报率低。支持语义缺陷/运行时缺陷、安全漏洞、安全编码标准/规范的检测、支持混合语言检测。支持国产化环境,支持开发语言安全国家标准、攻击向量全面分析,跨函数、跨文件的污点路径深度分析,指纹技术、相似Hash技术等运用。
在企业软件开发阶段,静态代码安全检测工具Wukong(悟空)可以帮助开发人员快速查找代码编写过程中出现的逻辑漏洞,并识别、追踪有可能因代码规范/缺陷造成的安全漏洞,在开发早期进行代码漏洞预警与修复,降低软件在运行后产生的漏洞风险,提升抵御网络攻击的安全能力,为网络安全提供有利保障。
中科天齐Wukong(悟空)静态代码检测工具,从源码开始,为您的软件安全保驾护航!
软件安全 网络安全的最后一道防线
中科天齐公司是在中科院计算技术研究所的大力推动下
以中科院计算所国际领先的自主研究成果
为基础组建的高新技术企业
关键词标签:网络攻击 网络安全 静态代码检测 代码泄漏 代码原生安全
参读链接:https://www.woocoom.com/b021.html?id=1179ecbe87ec4951908d68fb646679b6
标签:国家标准 pid ash 级别 关键词 info 网络 auto 函数
原文地址:https://www.cnblogs.com/zktq/p/14785065.html
