据有关部门通报,近期有黑客对境内SonarQube平台进行网络攻击,企图窃取平台用户的系统源代码。经分析研判,SonarQube是由瑞士公司SonarQube开发的代码质量管理平台,黑客通过对SonarQube平台进行定向攻击,获取存储在该平台上的相关用户源代码。鉴于该风险影响范围广,潜在危害程度高,请各单位高度重视,迅速组织排查本地区、本部门及其重要信息系统软件开发商、供应商是否存在使用SonarQube软件情况,是否存在默认配置等安全风险,是否有重要信息系统源代码泄露情况。如存在相关情况,请及时开展整改加固及安全监测工作,并立即采取以下应对措施。
一是及时升级SonarQube软件至最新版本,并更改默认配置,包括更改默认的管理员账号和密码、默认的访问端口。
二是避免将SonarQube软件部署在互联网上,并通过防火墙等进行访问控制,禁止未经授权的访问。
三是对源代码已经或可能泄露的信息系统,要及时采取补救措施,加强安全防范,防止出现网络安全事件。发现系统遭攻击情况后及时处置并报告上级主管部门。
