SonarQube漏洞导致源码泄漏，国产化迫在眉睫

摘要

SonarQube被黑客攻破，是时候选择可靠的国产软件替代。

开源的代码质量管理平台 SonarQube 日前被黑客攻破，使得很多公司和机构开始紧急排查其设备或系统是否集成了 SonarQube，其中不乏一些国家机关单位，这次算得上是今年又一起影响较大的开源软件供应链攻击事件。

SonarQube 事件回溯

10月20日，黑客入侵了知名企业博世 iSite 服务器，窃取了 5G 物联网连接平台的源码；

10月23日，黑客声称已经拿到国家疾控中心 HIS 源代码；
10月25日，黑客声称拿到奔驰中国部分源代码；
10月26日，黑客更是声称公开了公安系统的医疗、保险、人事的 SRC 源代码；

黑客透露是通过 0day 漏洞从 SonarQube 服务器获取了关键信息，目前暂不清楚黑客还入侵了哪些单位，但是任何使用了 SonarQube 的单位都应该做好管控源码服务器的安全工作，尽快离线 SonarQube 服务器，修改相应的包括但不限于 SVN、Gitlab 等账号密码。

早在2020年7月，美国媒体 BleepingComputer 已有报道：瑞士安全研究员Tillie Kottmann 通过 SonarQube 的漏洞获取了50多家知名企业的源代码，其中包括微软、Adobe、联想、高通、摩托罗拉、AMD等大厂，并在 GitLab 公开库中发布出来。

高危漏洞：SonarQube 未授权访问

SonarQube 是一种开源的代码质量管理平台，可以集成不同的测试工具、代码分析工具以及持续集成工具。通过不同的插件对分析结果进行再加工处理，通过量化的方式度量代码质量的变化，并将结果展现到 SonarQube 可视化界面。

SonarQube 系统存在未授权访问漏洞，缺少对 API 接口访问的鉴权控制。该漏洞是由于 SonarQube 系统配置不当，导致平台项目暴露在公网当中，攻击者利用该漏洞在未授权的情况下访问公网 API 接口，使用系统默认配置口令进入平台，下载源代码文件，获取系统敏感信息。

CNVD 将该漏洞的危害级别评为“高危”，目前该漏洞 （CNVD-2021-84502）已被收录进了国家信息安全漏洞共享平台（CNVD）。

替代 SonarQube 成必然

去年的事件显然没有在国内引起关注，也没有针对该漏洞进行及时的防范，才所导致了此次开源软件供应链攻击。

为什么这次 SonarQube 事件对国家信息安全的威胁巨大？原因是国内使用 SonarQube 进行软件开发的公司和机构非常多。通过采招网等招投标网站查询，发现招标采购内容中包含 SonarQube 的项目很多。

比如：广西卫生监控数据中台建设招标、贵阳银行信息科技管理平台一起建设项目、银联商务代码质量管理工具、河北医疗保障局开发运维一体化平台、北京航空航天大学计算机学院项目、广东电网有限责任公司项目、工信部电子五所一体化研发仿真环境采购项目、中信银行内控合规一体化管理平台建设项目、北京海关总署新一代海关通关管理系统、上海银行质量服务平台和分布式支撑服务项目、中国科学院信息工程研究所源代码安全扫描软件项目、华泰证券软件产品采购项目、上海科技信息管理平台项目、中国太平洋保险（集团）制品库软件、湖南省税务局应用系统运维巡检与审查系统等都涉及 SonarQube 采购和应用。

这次攻击迫使国内很多机构的项目急寻可替代 SonarQube 的产品，应用存在漏洞的开源软件显然成为了威胁公司安全的重大隐患，对于机关单位来说更是成为了危害国家信息安全的毒瘤。

开源软件 VS 商业化软件

除了 SonarQube 之外，具有代码审核功能的开源软件还有 FindBugs 的 sec 版、Cobra 等，虽然它们以免费、轻量、便捷等优点吸引了大批用户，但直接使用开源软件做集成和开发，是远远达不到商业开发项目要求的安全标准。检测严重的代码缺陷问题覆盖度不够，且漏洞误报率高，和商业产品完全不在一个量级上，更不用说支持特定的语言、框架等功能。如果希望更安全地使用开源软件，需要投入更多的人力去为其做定制化开发或贡献开源代码，这显然对很多公司和人员要求过高了。

从另一方面来看，代码审核工具本身作为安全类软件，目的是保障研发阶段的代码安全，而在不成熟的软件供应链体系下，为求免费便捷而直接使用开源的代码审核工具，既不能保障软件自身的安全，更不能保障软件供应链的安全。

而商业化的代码审核工具，经过专业的安全人员和开发人员的多年打磨，产品已经相对成熟，符合国家和行业的安全开发要求，漏洞库全面、服务支持力度强并且输出可读性高的检测报告和代码级的漏洞修复报告。
国家对于信息安全的要求日益严格，将国外开源软件替换成国产自主研发的软件并应用到关键系统上，已成为亟待解决的重要任务，更是保护国家信息安全的重要措施。

然而，国产软件是否有能力承接这项任务，还需要对国产软件公司的实力进行对比。在国家政策和国际安全形势的驱动下，很多国产软件公司借势而起，尤其是在同类可选产品众多的情况下，如何选择可靠的国产软件也成为了一项难题。

面对同类产品的选择，既要对比功能、性能、价格等条件，也要深入考量国产软件公司的服务支持能力，甚至考虑其是否应用了安全开发流程，来保障软件自身安全。