校园网24小时服务电话:0431-85166000    


大数据和网络管理中心
当前位置: 首页 >> 网络安全 >> 正文
关于开源代码质量管理系统 SonarQube未授权访问漏洞的风险提示
发布日期:2021-11-05 浏览次数:

SonarQube 是一款开源的代码质量管理系统,提供软件代码审计功能,在软件开发企业使用较多。该系统在默认配置下,未对其 API 接口进行任何访问控制,导致可不经认证通过互联网下载该系统审计过的程序源代码。另外,该系统默认管理员凭据是弱口令,如未更改,极易被利用来直接登录获得该系统审计过的源代码。攻击者利用 SonarQube 的相关漏洞攻击我境内软件企业窃取项目源代码。

鉴于漏洞高危,构成软件供应链安全风险,请各单位全面排查,自身以及项目承包商或软件提供商是否采用 SonarQube做软件质量管理,是否因默认配置而受漏洞影响,并组织及时开展漏洞修补、风险防范工作,以免发生源代码等项目重要资产失窃的安全事件。

处置建议:

1.更改默认设置,包括更改默认的管理员用户名、口令(避免弱口令)和端口;

2.将 SonarQube 部署于内网环境并通过防火墙等进行访问控制,禁止未经验证的访问。






大数据和网络管理中心
2021年11月5日


上一条:关于防范钓鱼诈骗邮件的提醒(... 下一条:国家互联网应急中心发布《勒...

关闭

服务电话

白天:0431-85166000
   0431-85166001
   0431-85166002

24小时:0431-85166000


业务办理

师生办事大厅

(学生):0431-85166474

(教工):0431-85167136

联系我们

Email:nic@jlu.edu.cn

地址:长春市朝阳区前进大街2699号

吉林大学大数据和网络管理中心