加入星計(jì)劃,您可以享受以下權(quán)益:

  • 創(chuàng)作內(nèi)容快速變現(xiàn)
  • 行業(yè)影響力擴(kuò)散
  • 作品版權(quán)保護(hù)
  • 300W+ 專業(yè)用戶
  • 1.5W+ 優(yōu)質(zhì)創(chuàng)作者
  • 5000+ 長(zhǎng)期合作伙伴
立即加入
  • 正文
  • 相關(guān)推薦
  • 電子產(chǎn)業(yè)圖譜
申請(qǐng)入駐 產(chǎn)業(yè)圖譜

新思科技:完整的軟件物料清單是快速響應(yīng)安全事件的關(guān)鍵

2022/11/07
595
閱讀需 5 分鐘
加入交流群
掃碼加入
獲取工程師必備禮包
參與熱點(diǎn)資訊討論

新思科技指出世界在不斷變化,安全事件也不會(huì)停止。但從各種安全事件中學(xué)會(huì)反思和改進(jìn),才能有機(jī)會(huì)跑贏攻擊者,防患未然。近日,開放源代碼軟件庫(kù)包OpenSSL發(fā)布安全公告,其用于加密通信通道和 HTTPS 連接的開源密碼庫(kù)中存在兩個(gè)高危漏洞,編號(hào)為 CVE-2022-3602 和 CVE-2022-3786,主要影響 OpenSSL 3.0.0 及更高版本。CVE-2022-3602 是一個(gè)任意 4 字節(jié)堆棧緩沖區(qū)溢出漏洞,可能導(dǎo)致拒絕服務(wù)或遠(yuǎn)程代碼執(zhí)行;CVE-2022-3786 可能會(huì)被攻擊者通過惡意電子郵件地址利用,通過緩沖區(qū)溢出觸發(fā)拒絕服務(wù)狀態(tài)。目前安全補(bǔ)丁已經(jīng)發(fā)布。

此前,OpenSSL預(yù)告于11月1日發(fā)布安全補(bǔ)丁。這種做法的好處是讓有關(guān)團(tuán)隊(duì)有機(jī)會(huì)在補(bǔ)丁可用之前自查,確定哪些應(yīng)用程序易受攻擊。但這也是一把雙刃劍:不法分子可能在補(bǔ)丁發(fā)布之前趁機(jī)進(jìn)行有針對(duì)性的攻擊。通常來說,只有在補(bǔ)丁創(chuàng)建、驗(yàn)證和可用之后才會(huì)進(jìn)行漏洞披露。

新思科技高級(jí)安全策略師Jonathan Knudsen表示:“此前,OpenSSL的‘心臟出血’(Heartbleed)漏洞默認(rèn)暴露在任何使用易受攻擊版本的OpenSSL 的軟件上,攻擊者很容易利用它來查看存儲(chǔ)在服務(wù)器內(nèi)存中的加密密鑰和密碼。新報(bào)告的兩個(gè)漏洞雖然高危,但是程度不同。易受攻擊的服務(wù)器需要請(qǐng)求客戶端證書身份驗(yàn)證,這不是常態(tài)。易受攻擊的客戶端需要連接到惡意服務(wù)器,這是一種常見的攻擊媒介。如果您還不知道軟件中有哪些開源組件,請(qǐng)盡快考慮采用軟件組成分析(SCA)工具。一旦您知道哪些軟件包含易受攻擊的 OpenSSL 版本,您就可以制定計(jì)劃以優(yōu)先順序更新軟件。對(duì)于已經(jīng)部署了軟件供應(yīng)鏈風(fēng)險(xiǎn)管理的企業(yè)來說,他們可以盡快進(jìn)行更新?,F(xiàn)階段安全管理還不充分的企業(yè)應(yīng)該考慮開始將軟件供應(yīng)鏈風(fēng)險(xiǎn)管理納入流程。”

安全團(tuán)隊(duì)?wèi)?yīng)使用SCA工具對(duì)所有軟件進(jìn)行分析,包括創(chuàng)建、獲取、下載或使用的所有軟件,與來源或功能無關(guān)(這包括商業(yè)和開源軟件)。如果無法訪問應(yīng)用的源代碼,則應(yīng)在應(yīng)用及其庫(kù)上使用二進(jìn)制SCA工具。測(cè)試結(jié)果將顯示使用 OpenSSL 的位置、正在使用的版本以及該版本的源點(diǎn)在哪里。

新思科技網(wǎng)絡(luò)安全研究中心首席安全策略師Tim Mackey表示:“我也建議企業(yè)采用SCA工具進(jìn)行主動(dòng)掃描。SCA工具掃描應(yīng)用的源代碼并為該應(yīng)用程序創(chuàng)建軟件物料清單 (SBOM)。擁有所有軟件的最新、準(zhǔn)確和完整的SBOM 是快速響應(yīng)事件的關(guān)鍵。”

新思科技《2022年開源安全和風(fēng)險(xiǎn)分析》報(bào)告(OSSRA)報(bào)告調(diào)研了17個(gè)行業(yè),其中計(jì)算機(jī)硬件半導(dǎo)體、網(wǎng)絡(luò)安全、能源與清潔技術(shù),以及物聯(lián)網(wǎng)這四個(gè)行業(yè)被審計(jì)的代碼庫(kù)中100%包含開源組件。其余的垂直行業(yè)的代碼庫(kù)中有93%到99%包含開源組件。而且這些被審計(jì)的代碼庫(kù)中有81%包含至少一個(gè)漏洞。

由此可見,創(chuàng)建開源組件的SBOM的重要性。它可以幫助開發(fā)人員快速定位存在風(fēng)險(xiǎn)的組件,并合理確定修復(fù)工作的優(yōu)先級(jí)。全面的SBOM應(yīng)列出應(yīng)用程序中的所有開源組件以及這些組件的許可證、版本和補(bǔ)丁狀態(tài)。

新思科技中國(guó)區(qū)軟件應(yīng)用安全業(yè)務(wù)總監(jiān)楊國(guó)梁表示:“采用開源更容易激發(fā)技術(shù)創(chuàng)新和加速構(gòu)建可信的協(xié)作模式。因此,中國(guó)正在積極系統(tǒng)地布局‘十四五’開原生態(tài)發(fā)展,以為數(shù)字經(jīng)濟(jì)提供基礎(chǔ)‘養(yǎng)分’。企業(yè)為了滿足用戶對(duì)敏捷迭代的需求,采用開源已經(jīng)成為常態(tài)。同時(shí),軟件供應(yīng)鏈安全也成了業(yè)界的重點(diǎn)關(guān)注。在全面部署安全治理之前,企業(yè)應(yīng)該先了解使用了哪些代碼,才能有效開展軟件供應(yīng)鏈安全管理,進(jìn)而以滿足業(yè)務(wù)發(fā)展需求的速度開發(fā)可信軟件產(chǎn)品。”

相關(guān)推薦

電子產(chǎn)業(yè)圖譜