演講嘉賓 | 楊牧天
回顧整理 | 廖 濤
排版校對(duì) | 李萍萍
嘉賓簡(jiǎn)介
楊牧天,北京中科微瀾科技有限公司CEO,開放原子開源基金會(huì)開源安全委員會(huì)、安全平臺(tái)工作組組長(zhǎng),開放原子開源基金會(huì)OpenX開源研究項(xiàng)目開源漏洞治理、開源軟件知識(shí)圖譜等多個(gè)專題組專家。曾參與國(guó)家重點(diǎn)研發(fā)、自然科學(xué)基金等多個(gè)國(guó)家及省部級(jí)重大項(xiàng)目,擔(dān)任多個(gè)安全項(xiàng)目負(fù)責(zé)人,在開源操作系統(tǒng)安全方向具有豐富研究和實(shí)踐經(jīng)驗(yàn)。擁有多項(xiàng)發(fā)明專利及軟著,相關(guān)研究成果在包括NDSS、IJCAI、ICSE、FSE等國(guó)際頂級(jí)會(huì)議及期刊發(fā)表。
內(nèi)容來(lái)源
第一屆開放原子開源基金會(huì)OpenHarmony技術(shù)峰會(huì)——安全及機(jī)密計(jì)算分論壇
視頻回顧
打開 嗶哩嗶哩APP 搜索 OpenHarmony-TSC 視頻更清晰
正 文 內(nèi) 容
在過(guò)去幾年中, 開源代碼組件和開源代碼社區(qū)大量增長(zhǎng),開源漏洞數(shù)量也隨之激增,帶來(lái)了嚴(yán)重的安全風(fēng)險(xiǎn)。如何提前感知開源漏洞并及時(shí)處置是軟件安全領(lǐng)域的重要課題之一,北京中科微瀾科技有限公司CEO楊牧天在第一屆OpenHarmony技術(shù)峰會(huì)上分享了當(dāng)前工業(yè)界相關(guān)技術(shù)發(fā)展和實(shí)踐。
01?
微瀾簡(jiǎn)介
北京中科微瀾科技有限公司是中國(guó)科學(xué)院軟件研究所科技成果轉(zhuǎn)化企業(yè),獲批中關(guān)村高新技術(shù)企業(yè)、國(guó)家高新技術(shù)企業(yè)、國(guó)家信息安全標(biāo)準(zhǔn)委員會(huì)認(rèn)證以及北京市專精特新企業(yè)等,主要致力于以漏洞情報(bào)知識(shí)化為核心,打造人機(jī)協(xié)同的新型安全基礎(chǔ)設(shè)施。目前,微瀾支持200多種漏洞數(shù)據(jù)源,包括官方漏洞源、第三方情報(bào)源、CNA組織源、廠商及上游SA數(shù)據(jù)源等,以獲取更為準(zhǔn)確的影響范圍以及修復(fù)版本,為企業(yè)提供更精準(zhǔn)的漏洞概況。
02?
開源漏洞核心問題
對(duì)于開源操作系統(tǒng)來(lái)說(shuō),安全漏洞是核心問題之一。目前,開源社區(qū)在安全漏洞的發(fā)現(xiàn)與處置上仍存在以下不足:
漏洞情報(bào)較為分散:不同維度的漏洞情報(bào)分散在大量不同數(shù)據(jù)源,需要人工閱讀、分析、理解,尋找關(guān)鍵知識(shí)并提取知識(shí)間的聯(lián)系,需要較高的經(jīng)驗(yàn)和時(shí)間成本。并非每個(gè)開源貢獻(xiàn)者都是安全專家,開源社區(qū)需要漏洞情報(bào)的自動(dòng)化知識(shí)提取、關(guān)聯(lián)與分析技術(shù),以降低人工參與環(huán)節(jié);
漏洞感知時(shí)效性較低:在漏洞公開披露前,更早獲取漏洞情報(bào)能夠幫助開源社區(qū)盡早開展漏洞處置工作。社區(qū)需要具備高時(shí)效性的漏洞感知能力,在漏洞情報(bào)出現(xiàn)早期進(jìn)行跟蹤并識(shí)別對(duì)自身影響;
漏洞處置速度較慢:安全漏洞管理流程主要包含了漏洞接收、漏洞威脅評(píng)估、漏洞修復(fù)驗(yàn)證、私有披露與公開披露。其中漏洞評(píng)估需要漏洞細(xì)節(jié)、驗(yàn)證程序等關(guān)鍵知識(shí),漏洞修復(fù)可能需要等待上游補(bǔ)丁。開源社區(qū)只能通過(guò)建立合理高效的組織和流程,及時(shí)提供關(guān)鍵知識(shí)以加快漏洞處置速度。
03?
openBrain漏洞感知系統(tǒng)
基于上述開源漏洞發(fā)現(xiàn)與處置的現(xiàn)實(shí)痛點(diǎn),開發(fā)openBrain漏洞感知系統(tǒng),通過(guò)在全球范圍進(jìn)行實(shí)時(shí)的漏洞情報(bào)獲取、匯總與分析,為開源社區(qū)提供相關(guān)漏洞情報(bào)與關(guān)鍵知識(shí),能夠大大提升社區(qū)漏洞管理效率并降低人員與經(jīng)驗(yàn)成本。此外,系統(tǒng)具備自動(dòng)化漏洞感知,人機(jī)協(xié)同漏洞響應(yīng)能力,能夠從大量的實(shí)時(shí)漏洞情報(bào)中感知與開源社區(qū)相關(guān)的關(guān)鍵信息,提升社區(qū)漏洞響應(yīng)效率。結(jié)合標(biāo)準(zhǔn)漏洞管理與披露流程,實(shí)現(xiàn)人機(jī)協(xié)同新模式。
開發(fā)與實(shí)現(xiàn)openBrain漏洞感知系統(tǒng)存在以下挑戰(zhàn):
挑戰(zhàn)1:漏洞情報(bào)源錯(cuò)誤。漏洞情報(bào)源存在漏洞數(shù)據(jù)錯(cuò)誤或不全的情況,很大程度影響可信度,進(jìn)而影響漏洞識(shí)別、驗(yàn)證、修復(fù)等工作;
挑戰(zhàn)2:漏洞情報(bào)分散。漏洞情報(bào)通常分散在不同數(shù)據(jù)源,對(duì)漏洞構(gòu)建全面的知識(shí)需要從多類數(shù)據(jù)源進(jìn)行數(shù)據(jù)匯總;
挑戰(zhàn)3:開源軟件命名規(guī)則不統(tǒng)一。在不同漏洞情報(bào)源中,開源軟件命名規(guī)則不統(tǒng)一,導(dǎo)致漏洞情報(bào)難以及時(shí)響應(yīng);
挑戰(zhàn)4:同源開源軟件代碼差異。同源代碼修改可能剪除或引入漏洞;
挑戰(zhàn)5:大規(guī)模軟件供應(yīng)鏈分析。在大規(guī)模開源項(xiàng)目中,通過(guò)對(duì)代碼切片比對(duì)等傳統(tǒng)手段效率不足,準(zhǔn)確性與全面性難以兼顧,難以滿足時(shí)效性要求;
挑戰(zhàn)6:漏洞情報(bào)質(zhì)量與時(shí)效性權(quán)衡問題。早期出現(xiàn)的漏洞情報(bào)通常內(nèi)容較少,不夠準(zhǔn)確。開源軟件作為基礎(chǔ)設(shè)施的核心要素,需要更早的漏洞情報(bào)并盡快進(jìn)行響應(yīng),然而不準(zhǔn)確的漏洞情報(bào)則會(huì)給社區(qū)帶來(lái)額外負(fù)擔(dān)。
針對(duì)挑戰(zhàn)1和2,openBrain漏洞感知系統(tǒng)采取了漏洞情報(bào)融合與結(jié)構(gòu)化技術(shù)。通過(guò)多源漏洞情報(bào)融合,有效整合大量、多源、多維信息,從而提升情報(bào)質(zhì)量與及時(shí)性。同時(shí),優(yōu)質(zhì)和及時(shí)的漏洞情報(bào)能夠顯著提升漏洞檢測(cè)、評(píng)估等業(yè)務(wù)效果,并為漏洞處置以及分析工作提供有力支撐。該技術(shù)的主要步驟如下:(1)構(gòu)建統(tǒng)一的知識(shí)存儲(chǔ)結(jié)構(gòu);(2)對(duì)漏洞情報(bào)進(jìn)行分類,提取關(guān)鍵實(shí)體,例如受影響軟件、版本、補(bǔ)丁、PoC、安全事件等,形成關(guān)聯(lián)關(guān)系;(3)漏洞情報(bào)錯(cuò)誤校正與信息補(bǔ)全。
針對(duì)挑戰(zhàn)3、4和5,openBrain漏洞感知系統(tǒng)采取了自動(dòng)化供應(yīng)鏈分析手段。通過(guò)在知識(shí)庫(kù)中對(duì)開源軟件上下游關(guān)系、依賴關(guān)系、包含關(guān)系等進(jìn)行預(yù)構(gòu)建和刻畫。并基于補(bǔ)丁比對(duì)的漏洞檢測(cè)技術(shù)+軟件供應(yīng)鏈溯源,構(gòu)建開源漏洞傳播模型, 維護(hù)開源軟件映射矩陣,將不同數(shù)據(jù)源的軟件歸一化,實(shí)現(xiàn)快速的情報(bào)感知。
針對(duì)挑戰(zhàn)6,openBrain漏洞感知系統(tǒng)采取了漏洞情報(bào)動(dòng)態(tài)評(píng)級(jí)方案。通過(guò)根據(jù)不同情報(bào)內(nèi)容和漏洞判定方式,實(shí)現(xiàn)漏洞情報(bào)動(dòng)態(tài)評(píng)級(jí)系統(tǒng),在每次情報(bào)更新后更新評(píng)級(jí),并以此判斷情報(bào)與開源項(xiàng)目的相關(guān)性。
此外,openBrain還提供實(shí)時(shí)漏洞情報(bào)數(shù)據(jù)匯總,并形成漏洞情報(bào)共享接口。Standard Vulnerability Schema涵蓋數(shù)百個(gè)漏洞情報(bào)源,能夠?qū)崟r(shí)更新結(jié)構(gòu)化漏洞情報(bào),面向工具和業(yè)務(wù)進(jìn)行情報(bào)共享。
在應(yīng)用上,openBrain漏洞感知系統(tǒng)從建立之初至2022年10月的兩年時(shí)間中,涵蓋了超過(guò)26.5萬(wàn)的漏洞數(shù)量,在開源社區(qū)中創(chuàng)建的漏洞issue數(shù)量達(dá)到了7千多個(gè),整個(gè)漏洞貢獻(xiàn)占到全社區(qū)的95%,節(jié)省了大量的人力成本,解放了社區(qū)更多的開發(fā)和創(chuàng)新生產(chǎn)力。其中,1119個(gè)漏洞早于美國(guó)國(guó)家安全漏洞庫(kù)(NVD)向社區(qū)披露,平均的提前感知時(shí)長(zhǎng)達(dá)到23天。
openBrain開源漏洞感知系統(tǒng)是依托漏洞情報(bào)自動(dòng)化獲取、知識(shí)化與智能分析等技術(shù)而形成新型安全基礎(chǔ)設(shè)施,openBrain在開源社區(qū)的應(yīng)用探索證明了其在開源項(xiàng)目漏洞管理過(guò)程中具有很高的價(jià)值,能夠在降低人力投入的同時(shí)極大提升開源社區(qū)安全保障能力,讓開發(fā)者更加專注于創(chuàng)新。
04?
未來(lái)展望
目前,微瀾正在向OpenHarmony進(jìn)行能力擴(kuò)展,幫助社區(qū)降低漏洞情報(bào)獲取難度,提升安全漏洞發(fā)現(xiàn)和處置效率,打造更安全的OpenHarmony。也希望大家關(guān)注微瀾,關(guān)注開源漏洞感知及處理相關(guān)技術(shù)的發(fā)展,共同為更多開源項(xiàng)目提供支撐,為開源生態(tài)安全發(fā)展提供新能力與更大價(jià)值。
E N D
點(diǎn)擊下方閱讀原文獲取演講PPT。
關(guān)注我們,獲取更多精彩。
審核編輯 黃宇
-
開源
+關(guān)注
關(guān)注
3文章
3320瀏覽量
42473 -
OpenHarmony
+關(guān)注
關(guān)注
25文章
3716瀏覽量
16257
發(fā)布評(píng)論請(qǐng)先 登錄
相關(guān)推薦
評(píng)論