峰會回顧第28期 | openBrain開源漏洞感知系統(tǒng)

演講嘉賓 | 楊牧天

回顧整理 | 廖 濤

排版校對 | 李萍萍

嘉賓簡介

楊牧天，北京中科微瀾科技有限公司CEO，開放原子開源基金會開源安全委員會、安全平臺工作組組長，開放原子開源基金會OpenX開源研究項目開源漏洞治理、開源軟件知識圖譜等多個專題組專家。曾參與國家重點研發(fā)、自然科學(xué)基金等多個國家及省部級重大項目，擔(dān)任多個安全項目負責(zé)人，在開源操作系統(tǒng)安全方向具有豐富研究和實踐經(jīng)驗。擁有多項發(fā)明專利及軟著，相關(guān)研究成果在包括NDSS、IJCAI、ICSE、FSE等國際頂級會議及期刊發(fā)表。

內(nèi)容來源

第一屆開放原子開源基金會OpenHarmony技術(shù)峰會——安全及機密計算分論壇

視頻回顧

打開 嗶哩嗶哩APP 搜索 OpenHarmony-TSC 視頻更清晰

正 文 內(nèi) 容

在過去幾年中, 開源代碼組件和開源代碼社區(qū)大量增長，開源漏洞數(shù)量也隨之激增，帶來了嚴(yán)重的安全風(fēng)險。如何提前感知開源漏洞并及時處置是軟件安全領(lǐng)域的重要課題之一，北京中科微瀾科技有限公司CEO楊牧天在第一屆OpenHarmony技術(shù)峰會上分享了當(dāng)前工業(yè)界相關(guān)技術(shù)發(fā)展和實踐。

01?

微瀾簡介

北京中科微瀾科技有限公司是中國科學(xué)院軟件研究所科技成果轉(zhuǎn)化企業(yè)，獲批中關(guān)村高新技術(shù)企業(yè)、國家高新技術(shù)企業(yè)、國家信息安全標(biāo)準(zhǔn)委員會認證以及北京市專精特新企業(yè)等，主要致力于以漏洞情報知識化為核心，打造人機協(xié)同的新型安全基礎(chǔ)設(shè)施。目前，微瀾支持200多種漏洞數(shù)據(jù)源，包括官方漏洞源、第三方情報源、CNA組織源、廠商及上游SA數(shù)據(jù)源等，以獲取更為準(zhǔn)確的影響范圍以及修復(fù)版本，為企業(yè)提供更精準(zhǔn)的漏洞概況。

02?

開源漏洞核心問題

對于開源操作系統(tǒng)來說，安全漏洞是核心問題之一。目前，開源社區(qū)在安全漏洞的發(fā)現(xiàn)與處置上仍存在以下不足：

漏洞情報較為分散：不同維度的漏洞情報分散在大量不同數(shù)據(jù)源，需要人工閱讀、分析、理解，尋找關(guān)鍵知識并提取知識間的聯(lián)系，需要較高的經(jīng)驗和時間成本。并非每個開源貢獻者都是安全專家，開源社區(qū)需要漏洞情報的自動化知識提取、關(guān)聯(lián)與分析技術(shù)，以降低人工參與環(huán)節(jié)；

漏洞感知時效性較低：在漏洞公開披露前，更早獲取漏洞情報能夠幫助開源社區(qū)盡早開展漏洞處置工作。社區(qū)需要具備高時效性的漏洞感知能力，在漏洞情報出現(xiàn)早期進行跟蹤并識別對自身影響；

漏洞處置速度較慢：安全漏洞管理流程主要包含了漏洞接收、漏洞威脅評估、漏洞修復(fù)驗證、私有披露與公開披露。其中漏洞評估需要漏洞細節(jié)、驗證程序等關(guān)鍵知識，漏洞修復(fù)可能需要等待上游補丁。開源社區(qū)只能通過建立合理高效的組織和流程，及時提供關(guān)鍵知識以加快漏洞處置速度。

03?

openBrain漏洞感知系統(tǒng)

基于上述開源漏洞發(fā)現(xiàn)與處置的現(xiàn)實痛點，開發(fā)openBrain漏洞感知系統(tǒng)，通過在全球范圍進行實時的漏洞情報獲取、匯總與分析，為開源社區(qū)提供相關(guān)漏洞情報與關(guān)鍵知識，能夠大大提升社區(qū)漏洞管理效率并降低人員與經(jīng)驗成本。此外，系統(tǒng)具備自動化漏洞感知，人機協(xié)同漏洞響應(yīng)能力，能夠從大量的實時漏洞情報中感知與開源社區(qū)相關(guān)的關(guān)鍵信息，提升社區(qū)漏洞響應(yīng)效率。結(jié)合標(biāo)準(zhǔn)漏洞管理與披露流程，實現(xiàn)人機協(xié)同新模式。

開發(fā)與實現(xiàn)openBrain漏洞感知系統(tǒng)存在以下挑戰(zhàn)：

挑戰(zhàn)1：漏洞情報源錯誤。漏洞情報源存在漏洞數(shù)據(jù)錯誤或不全的情況，很大程度影響可信度，進而影響漏洞識別、驗證、修復(fù)等工作；

挑戰(zhàn)2：漏洞情報分散。漏洞情報通常分散在不同數(shù)據(jù)源，對漏洞構(gòu)建全面的知識需要從多類數(shù)據(jù)源進行數(shù)據(jù)匯總；

挑戰(zhàn)3：開源軟件命名規(guī)則不統(tǒng)一。在不同漏洞情報源中，開源軟件命名規(guī)則不統(tǒng)一，導(dǎo)致漏洞情報難以及時響應(yīng)；

挑戰(zhàn)4：同源開源軟件代碼差異。同源代碼修改可能剪除或引入漏洞；

挑戰(zhàn)5：大規(guī)模軟件供應(yīng)鏈分析。在大規(guī)模開源項目中，通過對代碼切片比對等傳統(tǒng)手段效率不足，準(zhǔn)確性與全面性難以兼顧，難以滿足時效性要求；

挑戰(zhàn)6：漏洞情報質(zhì)量與時效性權(quán)衡問題。早期出現(xiàn)的漏洞情報通常內(nèi)容較少，不夠準(zhǔn)確。開源軟件作為基礎(chǔ)設(shè)施的核心要素，需要更早的漏洞情報并盡快進行響應(yīng)，然而不準(zhǔn)確的漏洞情報則會給社區(qū)帶來額外負擔(dān)。

針對挑戰(zhàn)1和2，openBrain漏洞感知系統(tǒng)采取了漏洞情報融合與結(jié)構(gòu)化技術(shù)。通過多源漏洞情報融合，有效整合大量、多源、多維信息，從而提升情報質(zhì)量與及時性。同時，優(yōu)質(zhì)和及時的漏洞情報能夠顯著提升漏洞檢測、評估等業(yè)務(wù)效果，并為漏洞處置以及分析工作提供有力支撐。該技術(shù)的主要步驟如下：（1）構(gòu)建統(tǒng)一的知識存儲結(jié)構(gòu)；（2）對漏洞情報進行分類，提取關(guān)鍵實體，例如受影響軟件、版本、補丁、PoC、安全事件等，形成關(guān)聯(lián)關(guān)系；（3）漏洞情報錯誤校正與信息補全。

針對挑戰(zhàn)3、4和5，openBrain漏洞感知系統(tǒng)采取了自動化供應(yīng)鏈分析手段。通過在知識庫中對開源軟件上下游關(guān)系、依賴關(guān)系、包含關(guān)系等進行預(yù)構(gòu)建和刻畫。并基于補丁比對的漏洞檢測技術(shù)+軟件供應(yīng)鏈溯源，構(gòu)建開源漏洞傳播模型， 維護開源軟件映射矩陣，將不同數(shù)據(jù)源的軟件歸一化，實現(xiàn)快速的情報感知。

針對挑戰(zhàn)6，openBrain漏洞感知系統(tǒng)采取了漏洞情報動態(tài)評級方案。通過根據(jù)不同情報內(nèi)容和漏洞判定方式，實現(xiàn)漏洞情報動態(tài)評級系統(tǒng)，在每次情報更新后更新評級，并以此判斷情報與開源項目的相關(guān)性。

此外，openBrain還提供實時漏洞情報數(shù)據(jù)匯總，并形成漏洞情報共享接口。Standard Vulnerability Schema涵蓋數(shù)百個漏洞情報源，能夠?qū)崟r更新結(jié)構(gòu)化漏洞情報，面向工具和業(yè)務(wù)進行情報共享。

在應(yīng)用上，openBrain漏洞感知系統(tǒng)從建立之初至2022年10月的兩年時間中，涵蓋了超過26.5萬的漏洞數(shù)量，在開源社區(qū)中創(chuàng)建的漏洞issue數(shù)量達到了7千多個，整個漏洞貢獻占到全社區(qū)的95%，節(jié)省了大量的人力成本，解放了社區(qū)更多的開發(fā)和創(chuàng)新生產(chǎn)力。其中，1119個漏洞早于美國國家安全漏洞庫（NVD）向社區(qū)披露，平均的提前感知時長達到23天。

openBrain開源漏洞感知系統(tǒng)是依托漏洞情報自動化獲取、知識化與智能分析等技術(shù)而形成新型安全基礎(chǔ)設(shè)施，openBrain在開源社區(qū)的應(yīng)用探索證明了其在開源項目漏洞管理過程中具有很高的價值，能夠在降低人力投入的同時極大提升開源社區(qū)安全保障能力，讓開發(fā)者更加專注于創(chuàng)新。

04?

未來展望

目前，微瀾正在向OpenHarmony進行能力擴展，幫助社區(qū)降低漏洞情報獲取難度，提升安全漏洞發(fā)現(xiàn)和處置效率，打造更安全的OpenHarmony。也希望大家關(guān)注微瀾，關(guān)注開源漏洞感知及處理相關(guān)技術(shù)的發(fā)展，共同為更多開源項目提供支撐，為開源生態(tài)安全發(fā)展提供新能力與更大價值。

E N D

點擊下方閱讀原文獲取演講PPT。

關(guān)注我們，獲取更多精彩。

審核編輯 黃宇