威胁类型:利用依赖成分代码缺陷
- 威胁编号:T1-2-2
- 威胁分类:漏洞利用-利用依赖成分代码缺陷
- 威胁描述:攻击者利用依赖组件的代码缺陷,如代码质量低、存在安全漏洞等,导致系统存在安全风险。
威胁案例
开源组件
- Equifax数据泄露事件: 美国征信巨头Equifax 2017年9月确认,黑客利用其系统中未修复的Apache Struts漏洞发起攻击,导致1.43亿用户的信用记录被泄露,包括名称、社会保障号、出生日期、地址,以及部份驾驶执照号码等信息,被罚6.5亿美元。
解决方案
- 使用软件成分分析工具(SCA)识别依赖组件的代码缺陷,及时修复风险。
- 使用静态应用安全测试(SAST)工具针对依赖组件的源代码进行分析,识别代码缺陷,及时修复风险。