ca88登陆平台

开源意味着不问责,,,,,, ,我们筹备好应对比 Log4Shell 更大的安全危;;;;寺穑 ????

功夫:2023-03-01 作者:ca88登陆平台

分享到:

开源意味着不问责,,,,,,,我们筹备好应对比 Log4Shell 更大的安全危;;;;寺穑????

    起源:InfoQ

    采访嘉宾|BrianBehlendorf、董国伟

    编纂|Tina

    开源安全在经历一个加快刷新的时期。。。。。

    Log4Shell发作后,,,,,, ,掌管Log4j的三位没有酬劳的守护人员一壁忍受报复,,,,,, ,一壁不眠不休地工作了一个多星期,,,,,, ,为这份影响世界的代码打上了补丁。。。。。

    Log4Shell再次凸显了在SolarWinds攻击后备受关注的供给链安全问题。。。。。2022年本应是“供给链安全元年”,,,,,, ,不幸的是,,,,,, ,一年后的此刻这个缝隙依然普遍存在,,,,,, ,建复版本选取率没有设想中的高,,,,,, ,并且数据显示,,,,,, ,软件供给链攻击频次反而出现出急剧上升趋向。。。。。

    在从前的二十年里,,,,,, ,开源软件使得企业软件创新爆炸式增长,,,,,, ,对于一个越来越依赖开源软件运行的世界来说,,,,,, ,供给链安满是一个巨大的、关乎生计的问题。。。。。Log4Shell成为头条新闻,,,,,, ,让各人意识到,,,,,, ,“资源相对匮乏、以自愿者为基础的开源社区也存在着安全风险”,,,,,, ,那么是否有更严沉的“发作”在路上? ????

    对Log4Shell缝隙的披露也成了开源安全治理的一个好机遇,,,,,, ,开源和安全社区、企业和Linux基金会的OpenSSF在这一年里更进一步地结合了起来,,,,,, ,出现了多项改善关键开源软件安全情况的行动。。。。。在2022年实现之际,,,,,, ,我们采访了OpenSSF总经理BrianBehlendorf以及就职于ca88登陆平台代码安全尝试室的董国伟博士,,,,,, ,他们从国际和国内两个视角解说了开源安全的近况和应对措施。。。。。

    会不会有下一场更严沉的“暴雷”? ????

    Linus法令断言,,,,,, ,“只有有足够的眼睛,,,,,, ,所有的谬误都是浅薄的。。。。。”换句话说,,,,,, ,只有有足够多的开发人员,,,,,, ,险些每个编程缺点城市被急剧鉴别和建复。。。。。这概想放在90年代,,,,,, ,或许是正确的,,,,,, ,终于Linux作为最靠得住和最安全的操作系统之一,,,,,, ,它的成功能够归功于Linus定律的利用。。。。。

    近年来,,,,,, ,随着软件系统的蓬勃发展,,,,,, ,开源合作模式使得软件供给链的供给关系愈加重大复杂,供给链的治理也愈加难题。。。。。而后,,,,,, ,Log4j缝隙发作了。。。。。

    Log4Shell只是一个警钟

    作为一个开源日志库,,,,,, ,ApacheLog4j2是Java利用最宽泛的开源日志组件,,,,,, ,宽泛利用于当局、企业和公共服务机构的平台、利用和业务系统中,,,,,, ,该缝隙覆盖领域广并且利用门槛低,,,,,, ,对大量系统和机机关成了严沉影响。。。。。Log4j缝隙也被称为Log4Shell,,,,,, ,其CVSSv3得分为10.0。。。。。用更容易理解的方式来注明就是,,,,,, ,严沉度评分是从0.1到10.0,,,,,, ,Log4Shell得了个最高分。。。。。

    对于遍及度高的缝隙,,,,,, ,其实很难齐全建复。。。。。缝隙发作后一年后,,,,,, ,大无数组织仍易受到Log4Shell缝隙的攻击,,,,,, ,在全面建复之后,,,,,, ,还有近三分之一软件中再次出现Log4Shell缝隙。。。。。单一来说,,,,,, ,正本的代码的确建复了,,,,,, ,但之后有人引入了“新代码”,,,,,, ,而新代码里又蕴含旧的Log4j版本。。。。。而后,,,,,, ,缝隙就不休被新生,,,,,, ,就像一场“丛林火警”,,,,,, ,花一年的功夫还扑不灭。。。。。

    Log4Shell的例子也通知我们,,,,,, ,若是一段开源代码在全球领域内被大量选取,,,,,, ,要缓解开源软件引入的安全威胁,,,,,, ,可能要破费大量成本、建复容易出现谬误、甚至可能引入新的安全隐患等。。。。。

    Log4Shell仅仅是开源库中被发现和利用的系列缝隙之一。。。。。

    开源无处不在:Synopsys公司颁布的贸易代码库汇报发现,,,,,, ,贸易代码库中78%的代码来自开源项目。。。。。这些产品被利用于各类环境,,,,,, ,从民用手机到互联网、再到国度安全及国防系统。。。。。出于这个原因,,,,,, ,一旦这些被宽泛利用的开源库中出现缝隙,,,,,, ,则可能影响到大量已部署代码并造成严沉后果。。。。。

    而凭据ca88登陆平台的分析统计,,,,,, ,开源系统中,,,,,, ,缝隙的增长速度、安全缺点和高危安全缺点的密度,,,,,, ,以及典型缺点的检出率均出现出增长的趋向;;;;;国内企业开发的软件项目中,,,,,, ,100%使用了开源软件,,,,,, ,存在已知开源软件缝隙的项目占比86.4%,,,,,, ,均匀每个项目存在69个已知开源软件缝隙,,,,,, ,十几年前的古老开源软件缝隙依然存在于多个项目中。。。。。并且通过事俘分析,,,,,, ,也证实了“老缝隙”攻破最新主流产品的情况。。。。。同时版本长功夫不更新和更新十吩斓繁的开源项目,,,,,, ,比例都在增长;;;;;企业开发的软件项目中依然在使用20年前老旧版本的开源软件。。。。。此表,,,,,, ,在开源生态系统中,,,,,, ,更是存在极度多的被大量依赖的开源项目,,,,,, ,比Log4j2组件依赖数多的项目也不在少数(Log4j2甚至排不到前50名),,,,,, ,这些作为“底座”的组件一旦发作严沉缝隙,,,,,, ,其波及的领域可能比Log4Shell更大,,,,,, ,齐全有可能造成比它更严沉的后果。。。。。

    供给链攻击越来越多

    凭据安全汇报显示,,,,,, ,Log4Shell缝隙披露后的72幼时,,,,,, ,全球出现了超过80万次利用缝隙的尝试。。。。。

    Log4Shell缝隙的出现,,,,,, ,像给“黑客”们竖起了一个靶子,,,,,, ,通知他们开源代码中存在着一些无意间嵌入的、可用于进一步攻击的“奥秘”,,,,,, ,这让更多的恶意攻击者将把稳力转向了软件供给链。。。。。

    从前这一年里,,,,,, ,软件供给链攻击呈急剧上升趋向,,,,,, ,自2019年以来均匀每年增长742%。。。。。

开源意味着不问责,,,,,,,我们筹备好应对比 Log4Shell 更大的安全危;;;;寺穑????

    自2019年以来,,,,,, ,软件供给链攻击有所增长。。。。。

    凭据ca88登陆平台的跟踪统计,,,,,, ,从前这一年多,,,,,, ,险些每个月城市产生有关开源安全的典型事务,,,,,, ,涉及开源软件安全缝隙、开源生态系统安全等方面,,,,,, ,例如:

    2021年11月,,,,,, ,热点NPM包coa和rc陆续遭劫持,,,,,, ,并被植入恶意代码,,,,,, ,影响全球React管路。。。。。coa库每周下载量约900万,,,,,, ,用于GitHub上近500万个开源库中,,,,,, ,rc库每周下载量达1400万。。。。。

    2021年12月,,,,,, ,ApacheLog4j2曝出Log4Shell缝隙(CVE-2021-44228)。。。。。

    2022年3月,,,,,, ,俄乌矛盾中,,,,,, ,NPM开源包Node-ipc的作者RIAEvangelist作为反战人士,,,,,, ,在代码仓库中进行了“供给链投毒”,,,,,, ,增长的恶意js文件可能在包使用者的桌面创建反战标语。。。。。Node-ipc使用极度宽泛,,,,,, ,每周下载量超过100万次。。。。。

    2022年4月,,,,,, ,以色列安全公司发现高通和联发科芯片的音频解码器存在三个缝隙(CVSS评分为9.8、7.8和5.5),,,,,, ,起源于11年前苹果公司开发的开源无损音频编解码器AppleLossless。。。。。利用这些缝隙进行攻击,,,,,, ,可获取受影响移动设备媒体、音频会话的接见权限及摄像头数据流等,,,,,, ,缝隙影响领域蕴含数百万安卓设备。。。。。

    2022年7月公开(可追忆至去年12月),,,,,, ,攻击者通过在NPM上颁布包时绕过双因子认证(2FA),,,,,, ,创建了1000多个用户账号,,,,,, ,攻击者利用这些账号自动投放1283个蕴含挖矿剧本eazyminer的恶意模 ????,,,,,, ,利用数据库、Web等地点服务器的机械闲置资源进行挖矿。。。。。若是开发者装置了这些包,,,,,, ,则会在被挪用时挖掘门罗币。。。。。

    恶意攻击者持续对准开源项目生态系统,,,,,, ,没有理由相信2023年这些攻击者的阐发会有所分歧。。。。。

    对于开源软件缝隙,,,,,, ,应不应该问责? ????

    开源软件和自研软件在代码层面并没有性质区别,,,,,, ,因而开源软件带来的安全威胁并不会比自研软件少。。。。。而当统一段代码被全球领域宽泛使用时,,,,,, ,一个项目中的一个缝隙可能导致无数关键系统离线。。。。。

    开源提供了好多益处,,,,,, ,降低壁垒、增长创新,,,,,, ,让各人将有限资源投入到其他有价值的工作中。。。。。这种资源是免费的,,,,,, ,任何人都能够使用它。。。。。然而,,,,,, ,缝隙也是不成预防的,,,,,, ,若是你在使用供给商提供的贸易软件的过程中发现安全问题,,,,,, ,你能够去找供给商并要求他们建复和承担责任,,,,,, ,但开源软件跟贸易软件的责任模式分歧,,,,,, ,自打开源概想诞生以来,,,,,, ,开源软件就一向强调“使用者风险得意”。。。。。

    开源生态之所以像今天这么繁华,,,,,, ,是由于开源软件选取的自由许可和谈和一系列免责条款,,,,,, ,蕴含学生、草创公司员工、自愿者甚至大企业技术专家在内的各类开发人员,,,,,, ,城市在无需共享代码的情况下针对风险或缺点发展合作和急剧迭代。。。。。

    有钻营的开源软件守护者也有动力建复bug、编写注明文档并为新用户提供其他大局的辅助,,,,,, ,借此增长项主张用户数量,,,,,, ,最终吸引到更多技术贡献者。。。。。但最终用户要想获得贸易级此外支持或安全保险,,,,,, ,还是必要跟供给商签定付费和谈。。。。。既想不花一分钱,,,,,, ,又想让免费下载和使用的软件安全靠得住,,,,,, ,这的确不太现实。。。。。

    这就是开源软件当前的问责模型(当然,,,,,, ,自动引入后门、植入恶意代码的行为之表)。。。。。即便面对日益增长的网络安全问题,,,,,, ,这套问责模型也依然阐扬着效力。。。。。那些打包并支持开源代码的软件供给商必要对客户掌管,,,,,, ,由他们来保障提供安全靠得住的软件使用履历。。。。。在采办软件支付合同或软件即服务时,,,,,, ,我们有官僚求供给商提供相应的安全保障。。。。。但我们绝不能通过放慢开源软件的迭代速度来钻营更高的安全性,,,,,, ,这样只会增长开源贡献者的职守,,,,,, ,最终提高准入门槛、反而减弱所有参加者的安全信心。。。。。

    开源社区该若何应对? ????

    自由许可和“免责条款”造就了开源的繁华,,,,,, ,但这种“免责机造”,,,,,, ,也使得像针对其他软件开发商那样,,,,,, ,对开源社区和开源贡献者进行强约束较作难题。。。。。为了维持开源免费的主题心灵,,,,,, ,开源社区不能对其项目强加前提要求。。。。。

    去年,,,,,, ,开源社区也不休进行尝试,,,,,, ,寻找各人可接受的解决法子,,,,,, ,还有软件供给商试图通过大量调查问卷征求安全实际认证,,,,,, ,但这显著有将安全责任转移给开源守护者的嫌疑,,,,,, ,当然会遭到回绝。。。。。

开源意味着不问责,,,,,,,我们筹备好应对比 Log4Shell 更大的安全危;;;;寺穑????

    还有好比,,,,,, ,在产生多起开源守护者账户被劫持的事务后,,,,,, ,为了提高生态系统的总体安全性,,,,,, ,最受欢迎的开源项目集中之一PythonPackageIndex(PyPI)颁发将对“关键”项目(下载项主张前1%)执行最低安全措施,,,,,, ,要求这些项主张守护者使用双成分身份验证来保;;;;に堑恼驶,,,,,, ,涉及约3,500个项目。。。。。这引起了社区的强烈抗议,,,,,, ,有的威胁要烧毁他们的“盛行”项目,,,,,, ,其中一位说路:“免费的不值得做这些,,,,,, ,只有在我真正得到报答时才不安供给链安全”。。。。。对比2016年left-pad事务,,,,,, ,一名开发人员从npm注册表中撤回了他的关键JavaScript项目,,,,,, ,固然只有11行代码,,,,,, ,但是后果却严沉到出乎意料,,,,,, ,险些粉碎了其时的互联网。。。。。

开源意味着不问责,,,,,,,我们筹备好应对比 Log4Shell 更大的安全危;;;;寺穑????

    并且开源社区中,,,,,, ,守护人食裂乏的问题不在少数,,,,,, ,约莫30%的开源项目(蕴含一些最盛行的项目)只有一个守护者(掌管审查代码贡献、扫描缝隙和解决汇报的谬误的开发人员)。。。。。2014年的Heartbleed攻击——影响了近五分之一的互联网——利用了一个开源库中的缝隙,,,,,, ,该库由两名全职开发人员守护,,,,,, ,他们单独掌管超过500,000行代码。。。。。也因而,,,,,, ,固然研产生为软件代码安全性的第一责任人,,,,,, ,开源安全“左移”是必要的,,,,,, ,但开源作为一种开发者的自愿合作活动,,,,,, ,一味地提高开源安全的底线必然会遭到抵造,,,,,, ,并影响开源社区的正常发展。。。。。

    更沉要的是,,,,,, ,开源的其他受益者也应该参加进来,,,,,, ,由于开源安全中的关键问题不仅仅蕴含供给链安全问题,,,,,, ,这要求其中的开源代码用户审查自己的依赖项并维持更新;;;;;现实还有缝隙披露问题,,,,,, ,要求有关方掌管任地上报并披露开源软件缝隙,,,,,, ,以将风险降至最低;;;;;最后就是投资问题,,,,,, ,开源软件的用户必要回馈开源社区,,,,,, ,以确保其依赖项拥有可持续的性命力。。。。。

    Linux基金会以为,,,,,, ,要想真正破解这些挑战,,,,,, ,必须找到新的步骤来衡量开源软件包中存在的各种未被发现的缺点微风险,,,,,, ,还要设法子衡量已经无法升级的依赖项中各已知缺点可能造成的影响。。。。。事实上Log4Shell等沉大安全事务让蕴含行业主导方和政策造订者在内的各利益有关方意识到问题严沉性。。。。。我们国度也于2022年11月初,,,,,, ,立项了国度尺度《软件产品开源代码安全评价步骤》,,,,,, ,着手规范应对此类问题。。。。。

    如今开源已经成为社会的“高速公路和重要桥梁”,,,,,, ,对开源进行的缝隙攻击造成的影响会更大。。。。。因而,,,,,, ,与其说开源安满是开源开发人员的幼我使命,,,,,, ,不如说必须有一个组织来结合起幼我及企业,,,,,, ,共同推动开源安全治理,,,,,, ,这也是OpenSSF诞生的初衷。。。。。

    开源安全不能单打独斗

    OpenSSF是一个萦绕开源安全成立的组织,,,,,, ,结合了行业内最沉要的开源安全项目和相应的幼我及企业贡献者。。。。。

    OpenSSF与上游及现有社区合作,,,,,, ,提供安全审计,,,,,, ,或对下游提出“警报”,,,,,, ,以援手提高开源行业的整体安全性。。。。。其指标是在将来,,,,,, ,让开源生态系统中的每位参加者都能使用和分享更多高质量软件,,,,,, ,造就各人自动解决安全问题的主人翁心态,,,,,, ,并将高质量和自动处置安全问题视为天经地义。。。。。

    从前,,,,,, ,人们曾做出各类致力来提高开源软件安全性。。。。。这些致力蕴含Linux基金会的主题基础设施建议(CII),,,,,, ,由GitHub安全尝试室成立的开源安全联盟(OSSC),,,,,, ,以及由谷歌等企业缔造的结合开源软件建议(JOSSI)。。。。。OpenSSF的使命就是将这三大建议归并为“跨行业合作项目,,,,,, ,号召各方辅导者齐聚一堂,,,,,, ,共同提高开源软件的安全性。。。。。”

    2022年,,,,,, ,OpenSSF成员领域扩大到了全球一百多个组织,,,,,, ,其中也蕴含了一些中国企业如信通院、阿里、腾讯等。。。。。经历两次美国白宫会议之后,,,,,, ,OpenSSF启动了多项新行动,,,,,, ,蕴含Alpha-Omega项目以及开源软件安全带头打算,,,,,, ,还提供了多种有助于提高开源软件安全性的工具,,,,,, ,蕴含Sigstore、SLSA、Scorecards计分卡,,,,,, ,以及给开发人员的免费安全软件开发基础课程。。。。。

    Alpha-Omega是OpenSSF推动的一个主题项目,,,,,, ,缔造于2022年2月,,,,,, ,其使命是通过直接吸引守护者和专业分析定见,,,,,, ,显著提高开源软件的安全水平。。。。。“Alpha”代表初步,,,,,, ,是指与开源项主张关键守护者合作,,,,,, ,援手他们发现并建复安全缝隙,,,,,, ,借此改善安全情况;;;;;“Omega”则代表末尾,,,,,, ,强调确定至少1万个已经宽泛部署的开源软件项目,,,,,, ,并把自动化安全分析、评分和补救指南等全面推广至开源守护者社区。。。。。2022年,,,,,, ,该团队赞助并加强了五大关键开源项主张安全性,,,,,, ,别离是Node.js、Eclipse基金会、Rust基金会、jQuery和Python软件基金会。。。。。

    SIgstore于2022年10月全面推出,,,,,, ,能援手开发人员验证自己在使用的软件,,,,,, ,是否与宣称的加密数字署名及通明日志技术相符。。。。。它提供一整套技术组合,,,,,, ,蕴含用于软件工件署名的Cosgin、证书宣告机构Fulcio、通明日志Rekor和用于Git提交署名的Gitsign。。。。。这些工具既能够独立使用,,,,,, ,也能作为单独过程使用,,,,,, ,由此成立起成系统的整体开源安全规划。。。。。

    SLSA的全称是软件工件供给链级别,,,,,, ,这是一套安全框架或者说尺度与节造清单,,,,,, ,强调预防篡改、提高齐全性,,,,,, ,同时保;;;;は钅俊⒁滴窕蚱笠抵械娜砑包与基础设施。。。。。在它的援手下,,,,,, ,用户能在供给链的各个环节上保险梦想的安全性和弹性。。。。。

    Scorecards计分卡能援手开源守护者改进其安全最佳实际,,,,,, ,并援手开源消费者以自动化方式判断自己使用的依赖项是否安全。。。。。该工具会对涉及软件安全的一系列沉要条款进行查抄和评估,,,,,, ,并打出从0到10的具体评分。。。。。

    SBOM很有效

    OpenSSF另一个主题项目是SBOM。。。。。

    你也许想不到,,,,,, ,在Log4Shell缝隙发作后的今天,,,,,, ,从mavencentral自动下载的Log4j版本中有约30%是易受攻击的版本。。。。。那么为什么仍会有人在拉取这些易受攻击的Log4j版本? ????很大一部门原因,,,,,, ,是很多组织不足成熟的缝隙治理流程,,,,,, ,以及不足对其软件组件(软件物料清单,,,,,, ,称为SBOM)的可见性,,,,,, ,导致各人在不知不觉中仍在使用依赖易受攻击版本的Log4j的软件。。。。。好多企业也无法急剧判断自己用的Log4j版本有没出缺点,,,,,, ,由于没有这样的SBOM能确切通知他们当前使用的是哪个版本。。。。。

开源意味着不问责,,,,,,,我们筹备好应对比 Log4Shell 更大的安全危;;;;寺穑????

    SBOM性质上就是组成软件产品的“成分表”,,,,,, ,即各个依赖项。。。。。有很多蕴含开源软件在内的第三方起源的成分,,,,,, ,我们并不知路其具体蕴含哪些内容,,,,,, ,因而对其安全性的相识更无从谈起。。。。。SBOM能援试祗业或开发者更好地相识自己所使用的开源软件到底蕴含哪些依赖项,,,,,, ,从而轻松审查这些依赖项并随时加以更新。。。。。

    SBOM很有效,,,,,, ,没有它们,,,,,, ,即便是最大、最先进的技术公司也必要数周功夫能力确定它们容易受到攻击的地位,,,,,, ,更不用说建补每个组件了。。。。。

    ca88登陆平台建议将软件物料清单(SBOM)作为软件供给链安全的抓试祓首推动落地,,,,,, ,通过软件物料清单(SBOM)的推广利用,,,,,, ,牵引软件供给链高低游各个环节的协同,,,,,, ,在此基础之上再采取更多行动逐步深入,,,,,, ,实现软件供给链安全保险的指标。。。。。同时,,,,,, ,软件安全企业的软件成分分析(SCA)工具可能方便的实现SBOM的自动生成功能,,,,,, ,在目前软件开发普遍集成开源软件的情况下,,,,,, ,对于提升软件通明度、发展安全分析拥有沉要作用。。。。。

    如今,,,,,, ,已经有多种SBOM工具可供各人使用,,,,,, ,其中最盛行的两种SBOM体式别离是SPDX和CycloneDX。。。。。OpenSSF正致力提高工具成熟度,,,,,, ,并通过SBOMEverywhere出格兴致幼组推广这些工具。。。。。

    写在最后

    2022年,,,,,, ,出格是在Log4Shell等开源软件安全事务产生之后,,,,,, ,我们能够看到从行业到当局的多多利益有关方,,,,,, ,都起头更好地理解到开源软件的沉要意思和沉新投资开源生态系统的火急性。。。。。

    固然2023年里开源软件和软件供给链依然是沉要的被攻击领域之一,,,,,, ,攻击事务依然会维持持续高发态势。。。。。但另一方面,,,,,, ,各行业对开源安全的认知也在不休提升,,,,,, ,对这一领域的关注度在不休提高。。。。。国度层面也起头积极赞助和支持开源软件安全工作,,,,,, ,这所有都令人备受鼓励。。。。。企业层面,,,,,, ,也在造订和美满内部的开源软件安全治理划定,,,,,, ,规范开源软件的安全使用,,,,,, ,削减其引入的风险,,,,,, ,相信明年力度将更大。。。。。

    正如OpenSSF对将来规划中所说的那样:“作为开源社区,,,,,, ,ca88登陆平台将来齐全取决于做出贡献的每一幼我。。。。。从前一年来,,,,,, ,我们看到了在2022岁首时底子无法设想的新产品和新措施。。。。。我幼我以为,,,,,, ,AI将全面进入开源软件安全领域——既能够作为防御伎俩,,,,,, ,也可能成为建设性工具。。。。。我们将持续在OpenSSF的旗号下扩大分歧项目和打算的组合,,,,,, ,同时将多多项目整合到统一的工具套件傍边,,,,,, ,让各类安全开发步骤和成就融入工具链条。。。。。这种融合工作当然难度极大,,,,,, ,但在安全领域却至关沉要。。。。。终于在这类领域中,,,,,, ,‘能用好多法子解决统一个问题’并不愿定是功德,,,,,, ,强有力的尺度和规范往往才是梦想之路。。。。。”

    开源为各个组织提供了巨大的价值,,,,,, ,是我们今天所看到的创新措施的主题驱动力,,,,,, ,相信只有我们群策群力,,,,,, ,就不会让它失控。。。。。

开源意味着不问责,,,,,,,我们筹备好应对比 Log4Shell 更大的安全危;;;;寺穑????

ca88登陆平台 95015网络安全服务热线

95015网络安全服务热线

扫一扫关注

ca88登陆平台 在线客服 ca88登陆平台 95015

您对ca88登陆平台的任何疑难可用以下方式通知我们

将您对ca88登陆平台的任何疑难

用以下方式通知我们

【网站地图】【sitemap】