演講嘉賓 | 楊牧天

回顧整理 | 廖 濤

排版校對(duì) | 李萍萍

嘉賓簡(jiǎn)介

楊牧天，北京中科微瀾科技有限公司CEO，開(kāi)放原子開(kāi)源基金會(huì)開(kāi)源安全委員會(huì)、安全平臺(tái)工作組組長(zhǎng)，開(kāi)放原子開(kāi)源基金會(huì)OpenX開(kāi)源研究項(xiàng)目開(kāi)源漏洞治理、開(kāi)源軟件知識(shí)圖譜等多個(gè)專(zhuān)題組專(zhuān)家。曾參與國(guó)家重點(diǎn)研發(fā)、自然科學(xué)基金等多個(gè)國(guó)家及省部級(jí)重大項(xiàng)目，擔(dān)任多個(gè)安全項(xiàng)目負(fù)責(zé)人，在開(kāi)源操作系統(tǒng)安全方向具有豐富研究和實(shí)踐經(jīng)驗(yàn)。擁有多項(xiàng)發(fā)明專(zhuān)利及軟著，相關(guān)研究成果在包括NDSS、IJCAI、ICSE、FSE等國(guó)際頂級(jí)會(huì)議及期刊發(fā)表。

內(nèi)容來(lái)源

第一屆開(kāi)放原子開(kāi)源基金會(huì)OpenHarmony技術(shù)峰會(huì)——安全及機(jī)密計(jì)算分論壇

視頻回顧

打開(kāi) 嗶哩嗶哩APP 搜索 OpenHarmony-TSC 視頻更清晰

正 文 內(nèi) 容

在過(guò)去幾年中, 開(kāi)源代碼組件和開(kāi)源代碼社區(qū)大量增長(zhǎng)，開(kāi)源漏洞數(shù)量也隨之激增，帶來(lái)了嚴(yán)重的安全風(fēng)險(xiǎn)。如何提前感知開(kāi)源漏洞并及時(shí)處置是軟件安全領(lǐng)域的重要課題之一，北京中科微瀾科技有限公司CEO楊牧天在第一屆OpenHarmony技術(shù)峰會(huì)上分享了當(dāng)前工業(yè)界相關(guān)技術(shù)發(fā)展和實(shí)踐。

01?

微瀾簡(jiǎn)介

北京中科微瀾科技有限公司是中國(guó)科學(xué)院軟件研究所科技成果轉(zhuǎn)化企業(yè)，獲批中關(guān)村高新技術(shù)企業(yè)、國(guó)家高新技術(shù)企業(yè)、國(guó)家信息安全標(biāo)準(zhǔn)委員會(huì)認(rèn)證以及北京市專(zhuān)精特新企業(yè)等，主要致力于以漏洞情報(bào)知識(shí)化為核心，打造人機(jī)協(xié)同的新型安全基礎(chǔ)設(shè)施。目前，微瀾支持200多種漏洞數(shù)據(jù)源，包括官方漏洞源、第三方情報(bào)源、CNA組織源、廠商及上游SA數(shù)據(jù)源等，以獲取更為準(zhǔn)確的影響范圍以及修復(fù)版本，為企業(yè)提供更精準(zhǔn)的漏洞概況。

02?

開(kāi)源漏洞核心問(wèn)題

對(duì)于開(kāi)源操作系統(tǒng)來(lái)說(shuō)，安全漏洞是核心問(wèn)題之一。目前，開(kāi)源社區(qū)在安全漏洞的發(fā)現(xiàn)與處置上仍存在以下不足：

漏洞情報(bào)較為分散：不同維度的漏洞情報(bào)分散在大量不同數(shù)據(jù)源，需要人工閱讀、分析、理解，尋找關(guān)鍵知識(shí)并提取知識(shí)間的聯(lián)系，需要較高的經(jīng)驗(yàn)和時(shí)間成本。并非每個(gè)開(kāi)源貢獻(xiàn)者都是安全專(zhuān)家，開(kāi)源社區(qū)需要漏洞情報(bào)的自動(dòng)化知識(shí)提取、關(guān)聯(lián)與分析技術(shù)，以降低人工參與環(huán)節(jié)；

漏洞感知時(shí)效性較低：在漏洞公開(kāi)披露前，更早獲取漏洞情報(bào)能夠幫助開(kāi)源社區(qū)盡早開(kāi)展漏洞處置工作。社區(qū)需要具備高時(shí)效性的漏洞感知能力，在漏洞情報(bào)出現(xiàn)早期進(jìn)行跟蹤并識(shí)別對(duì)自身影響；

漏洞處置速度較慢：安全漏洞管理流程主要包含了漏洞接收、漏洞威脅評(píng)估、漏洞修復(fù)驗(yàn)證、私有披露與公開(kāi)披露。其中漏洞評(píng)估需要漏洞細(xì)節(jié)、驗(yàn)證程序等關(guān)鍵知識(shí)，漏洞修復(fù)可能需要等待上游補(bǔ)丁。開(kāi)源社區(qū)只能通過(guò)建立合理高效的組織和流程，及時(shí)提供關(guān)鍵知識(shí)以加快漏洞處置速度。

03?

openBrain漏洞感知系統(tǒng)

基于上述開(kāi)源漏洞發(fā)現(xiàn)與處置的現(xiàn)實(shí)痛點(diǎn)，開(kāi)發(fā)openBrain漏洞感知系統(tǒng)，通過(guò)在全球范圍進(jìn)行實(shí)時(shí)的漏洞情報(bào)獲取、匯總與分析，為開(kāi)源社區(qū)提供相關(guān)漏洞情報(bào)與關(guān)鍵知識(shí)，能夠大大提升社區(qū)漏洞管理效率并降低人員與經(jīng)驗(yàn)成本。此外，系統(tǒng)具備自動(dòng)化漏洞感知，人機(jī)協(xié)同漏洞響應(yīng)能力，能夠從大量的實(shí)時(shí)漏洞情報(bào)中感知與開(kāi)源社區(qū)相關(guān)的關(guān)鍵信息，提升社區(qū)漏洞響應(yīng)效率。結(jié)合標(biāo)準(zhǔn)漏洞管理與披露流程，實(shí)現(xiàn)人機(jī)協(xié)同新模式。

開(kāi)發(fā)與實(shí)現(xiàn)openBrain漏洞感知系統(tǒng)存在以下挑戰(zhàn)：

挑戰(zhàn)1：漏洞情報(bào)源錯(cuò)誤。漏洞情報(bào)源存在漏洞數(shù)據(jù)錯(cuò)誤或不全的情況，很大程度影響可信度，進(jìn)而影響漏洞識(shí)別、驗(yàn)證、修復(fù)等工作；

挑戰(zhàn)2：漏洞情報(bào)分散。漏洞情報(bào)通常分散在不同數(shù)據(jù)源，對(duì)漏洞構(gòu)建全面的知識(shí)需要從多類(lèi)數(shù)據(jù)源進(jìn)行數(shù)據(jù)匯總；

挑戰(zhàn)3：開(kāi)源軟件命名規(guī)則不統(tǒng)一。在不同漏洞情報(bào)源中，開(kāi)源軟件命名規(guī)則不統(tǒng)一，導(dǎo)致漏洞情報(bào)難以及時(shí)響應(yīng)；

挑戰(zhàn)4：同源開(kāi)源軟件代碼差異。同源代碼修改可能剪除或引入漏洞；

挑戰(zhàn)5：大規(guī)模軟件供應(yīng)鏈分析。在大規(guī)模開(kāi)源項(xiàng)目中，通過(guò)對(duì)代碼切片比對(duì)等傳統(tǒng)手段效率不足，準(zhǔn)確性與全面性難以兼顧，難以滿足時(shí)效性要求；

挑戰(zhàn)6：漏洞情報(bào)質(zhì)量與時(shí)效性權(quán)衡問(wèn)題。早期出現(xiàn)的漏洞情報(bào)通常內(nèi)容較少，不夠準(zhǔn)確。開(kāi)源軟件作為基礎(chǔ)設(shè)施的核心要素，需要更早的漏洞情報(bào)并盡快進(jìn)行響應(yīng)，然而不準(zhǔn)確的漏洞情報(bào)則會(huì)給社區(qū)帶來(lái)額外負(fù)擔(dān)。

針對(duì)挑戰(zhàn)1和2，openBrain漏洞感知系統(tǒng)采取了漏洞情報(bào)融合與結(jié)構(gòu)化技術(shù)。通過(guò)多源漏洞情報(bào)融合，有效整合大量、多源、多維信息，從而提升情報(bào)質(zhì)量與及時(shí)性。同時(shí)，優(yōu)質(zhì)和及時(shí)的漏洞情報(bào)能夠顯著提升漏洞檢測(cè)、評(píng)估等業(yè)務(wù)效果，并為漏洞處置以及分析工作提供有力支撐。該技術(shù)的主要步驟如下：（1）構(gòu)建統(tǒng)一的知識(shí)存儲(chǔ)結(jié)構(gòu)；（2）對(duì)漏洞情報(bào)進(jìn)行分類(lèi)，提取關(guān)鍵實(shí)體，例如受影響軟件、版本、補(bǔ)丁、PoC、安全事件等，形成關(guān)聯(lián)關(guān)系；（3）漏洞情報(bào)錯(cuò)誤校正與信息補(bǔ)全。

針對(duì)挑戰(zhàn)3、4和5，openBrain漏洞感知系統(tǒng)采取了自動(dòng)化供應(yīng)鏈分析手段。通過(guò)在知識(shí)庫(kù)中對(duì)開(kāi)源軟件上下游關(guān)系、依賴關(guān)系、包含關(guān)系等進(jìn)行預(yù)構(gòu)建和刻畫(huà)。并基于補(bǔ)丁比對(duì)的漏洞檢測(cè)技術(shù)+軟件供應(yīng)鏈溯源，構(gòu)建開(kāi)源漏洞傳播模型， 維護(hù)開(kāi)源軟件映射矩陣，將不同數(shù)據(jù)源的軟件歸一化，實(shí)現(xiàn)快速的情報(bào)感知。

針對(duì)挑戰(zhàn)6，openBrain漏洞感知系統(tǒng)采取了漏洞情報(bào)動(dòng)態(tài)評(píng)級(jí)方案。通過(guò)根據(jù)不同情報(bào)內(nèi)容和漏洞判定方式，實(shí)現(xiàn)漏洞情報(bào)動(dòng)態(tài)評(píng)級(jí)系統(tǒng)，在每次情報(bào)更新后更新評(píng)級(jí)，并以此判斷情報(bào)與開(kāi)源項(xiàng)目的相關(guān)性。

此外，openBrain還提供實(shí)時(shí)漏洞情報(bào)數(shù)據(jù)匯總，并形成漏洞情報(bào)共享接口。Standard Vulnerability Schema涵蓋數(shù)百個(gè)漏洞情報(bào)源，能夠?qū)崟r(shí)更新結(jié)構(gòu)化漏洞情報(bào)，面向工具和業(yè)務(wù)進(jìn)行情報(bào)共享。

在應(yīng)用上，openBrain漏洞感知系統(tǒng)從建立之初至2022年10月的兩年時(shí)間中，涵蓋了超過(guò)26.5萬(wàn)的漏洞數(shù)量，在開(kāi)源社區(qū)中創(chuàng)建的漏洞issue數(shù)量達(dá)到了7千多個(gè)，整個(gè)漏洞貢獻(xiàn)占到全社區(qū)的95%，節(jié)省了大量的人力成本，解放了社區(qū)更多的開(kāi)發(fā)和創(chuàng)新生產(chǎn)力。其中，1119個(gè)漏洞早于美國(guó)國(guó)家安全漏洞庫(kù)（NVD）向社區(qū)披露，平均的提前感知時(shí)長(zhǎng)達(dá)到23天。

openBrain開(kāi)源漏洞感知系統(tǒng)是依托漏洞情報(bào)自動(dòng)化獲取、知識(shí)化與智能分析等技術(shù)而形成新型安全基礎(chǔ)設(shè)施，openBrain在開(kāi)源社區(qū)的應(yīng)用探索證明了其在開(kāi)源項(xiàng)目漏洞管理過(guò)程中具有很高的價(jià)值，能夠在降低人力投入的同時(shí)極大提升開(kāi)源社區(qū)安全保障能力，讓開(kāi)發(fā)者更加專(zhuān)注于創(chuàng)新。

04?

未來(lái)展望

目前，微瀾正在向OpenHarmony進(jìn)行能力擴(kuò)展，幫助社區(qū)降低漏洞情報(bào)獲取難度，提升安全漏洞發(fā)現(xiàn)和處置效率，打造更安全的OpenHarmony。也希望大家關(guān)注微瀾，關(guān)注開(kāi)源漏洞感知及處理相關(guān)技術(shù)的發(fā)展，共同為更多開(kāi)源項(xiàng)目提供支撐，為開(kāi)源生態(tài)安全發(fā)展提供新能力與更大價(jià)值。

E N D

點(diǎn)擊下方閱讀原文獲取演講PPT。

關(guān)注我們，獲取更多精彩。

審核編輯 黃宇