各位师生：

     接到有关部门通报：近期多发针攻击者对开源软件SonarQube代码质量管理平台的定向攻击，进而获取存储在该平台上的相关用户源代码的安全事件。

由于SonarQube缺少对接口程序的访问鉴权，攻击者利用该漏洞，在未授权的情况下获取平台上的程序源代码。鉴于该风险潜在危害程度高，请各单位、团队组织排查本部门及软件开发商等是否存在使用SonarQube软件的情况。

受影响版本

SonarQube<8.6

排查平台是否存在默认配置等安全风险、是否有重要信息系统源代码泄露等情况。

如存在相关情况，请立即采取以下应对措施，及时开展整改加固及安全监测工作。

一是及时升级SonarQube软件至最新版本，更改默认配置，包括更改默认的管理员账号和密码、默认的访问端口。

二是对该系统增加访问控制措施，禁止未经授权的访问。  

三是若发现源代码已经或可能被泄露，采取补救措施及时处置，并报告其上级主管部门。后续加强安全防范，防止出现网络安全事件。

                             信息化技术中心

                               2021.11.15