本文來自企鵝號(hào)CSDN,作者|楊軒Linux基金會(huì)亞太區(qū)總監(jiān),責(zé)編|何苗,出品|CSDN(ID:CSDNnews)。
2022年轉(zhuǎn)眼間過去,全球疫情的反復(fù)超出了很多人的預(yù)料,但是開源安全的嚴(yán)峻形勢(shì)卻符合大多數(shù)安全專家的預(yù)期。最典型的例子莫過于Log4j,自該漏洞出現(xiàn)已經(jīng)過去一年多,仍有許多組織由于沒有正確修補(bǔ)他們的Log4j漏洞,而引發(fā)安全事件,在世界各地層出不窮。
美國網(wǎng)絡(luò)安全審查委員會(huì)曾發(fā)布首份報(bào)告《回顧2021年12月的Log4j事件》,系統(tǒng)梳理了Apache Log4j漏洞的實(shí)際影響和未來的威脅。同時(shí)指出,Log4j漏洞風(fēng)靡全球,而且會(huì)長期存在,并將持續(xù)在未來引發(fā)風(fēng)險(xiǎn)。
我想值此年初,跟大家盤點(diǎn)一下2022年發(fā)生的、對(duì)全球開源安全有重大影響的一些事件,以及該領(lǐng)域正在發(fā)生的一些重要走向。
開源安全9大現(xiàn)狀
1、歐洲政治危機(jī)引發(fā)大量新型惡意攻擊軟件
可以說,無論是和平時(shí)期還是戰(zhàn)爭時(shí)期,出于商業(yè)目的對(duì)基礎(chǔ)設(shè)施進(jìn)行網(wǎng)絡(luò)攻擊都是常態(tài)。研究顯示,許多攻擊軟件的開發(fā)者和使用者背后都有國際組織和國家的身影。自俄烏沖突爆發(fā)以來,三家總部位于德國的風(fēng)能公司成為了網(wǎng)絡(luò)攻擊的目標(biāo)。
此外,“零日漏洞”的數(shù)量在2022年創(chuàng)下紀(jì)錄,預(yù)計(jì)在2023年被繼續(xù)刷新。零日漏洞是指在發(fā)現(xiàn)時(shí)未修復(fù)或此前未知,因此在修復(fù)補(bǔ)丁釋出前會(huì)有一個(gè)時(shí)間空檔,黑客可乘著空檔利用漏洞發(fā)動(dòng)攻擊。雖然這種技術(shù)對(duì)黑客來說尤為珍貴,但對(duì)網(wǎng)絡(luò)安全專業(yè)人士來說就是一場噩夢(mèng)。安全公司Mandiant分析了2021年零日漏洞漏洞利用,據(jù)其統(tǒng)計(jì),2021年共發(fā)生了80起零日漏洞利用案例,而谷歌的Project Zero團(tuán)隊(duì)發(fā)現(xiàn)了58個(gè)??傮w而言,當(dāng)前攻擊者比以往任何時(shí)候都更敏捷、更會(huì)把握時(shí)機(jī)且更有攻擊性。
2、企業(yè)及開發(fā)者的開源安全意識(shí)有待提高
Log4Shell常年位居被利用最多的漏洞名單,盡管它在2022年底才被發(fā)現(xiàn)。時(shí)至今日,數(shù)以百萬計(jì)的Java應(yīng)用程序仍然容易受到Log4Shell的攻擊。大部分專家對(duì)這個(gè)結(jié)果并不驚訝,因?yàn)榧词乖贖eartbleed漏洞出現(xiàn)十年后的今天,一些系統(tǒng)仍然受到該漏洞的影響。
意大利特倫托大學(xué)的安全研究人員發(fā)現(xiàn),“零日”攻擊也許能讓黑客得到一定的媒體曝光度,但最復(fù)雜的惡意黑客更有可能使用已知的舊漏洞做文章。為了更好地評(píng)估企業(yè)如何才能最好地防御高級(jí)持續(xù)性威脅(APTs),他們建立了一個(gè)APT攻擊的數(shù)據(jù)集,涵蓋了2008年至2020年間350個(gè)活動(dòng)中的86個(gè)已知APT。研究人員發(fā)現(xiàn),“大多數(shù)APT活動(dòng)采用的是公開的、已知的漏洞”。APTs“經(jīng)常重復(fù)使用工具、惡意軟件和漏洞,與一般人的想法相悖”,由此可見,迅速而及時(shí)地打補(bǔ)丁是開發(fā)者必須具備的安全習(xí)慣。
3、惡意軟件服務(wù)正在成為商品,攻擊者開始瞄準(zhǔn)Dockers
購買一些模塊化的惡意軟件及服務(wù),正在變成一件容易的事,目前已經(jīng)發(fā)現(xiàn)有人將一些普遍使用的系統(tǒng)和服務(wù)的惡意軟件,打包在社交媒體Telegram上發(fā)售。全球網(wǎng)站使用量占30%到50%的WordPress,已經(jīng)成為了黑客惡意攻擊的目標(biāo)之一。
據(jù)不完全統(tǒng)計(jì),2022年上半年大約有6000個(gè)WP網(wǎng)站遭受惡意的JavaScript注入,基本上都是欺騙大家簽署付費(fèi)訂閱的應(yīng)用程序。目前大部分的供應(yīng)鏈攻擊都集中在NPM、Maven(Java包庫)和其他包管理器,但是有證據(jù)顯示攻擊者開始瞄準(zhǔn)Dockers了。
4、軟件供應(yīng)鏈安全的成本越來越高
過去一年,IBM發(fā)布了年度"數(shù)據(jù)泄露成本報(bào)告",顯示數(shù)據(jù)泄露的平均成本已經(jīng)創(chuàng)下歷史新高,達(dá)到435萬美元。另一項(xiàng)研究顯示,商業(yè)電子郵件破壞是最有利可圖的網(wǎng)絡(luò)犯罪形式之一。被黑或被偽造的內(nèi)部商業(yè)賬戶付款要求所騙的企業(yè),其年損失預(yù)估為75億美元。據(jù)美國聯(lián)邦調(diào)查局稱,蜂巢(Hive)勒索軟件犯罪分子已經(jīng)襲擊了全球1300多家公司,在過去18個(gè)月里勒索了大約1億美元。
同時(shí),對(duì)于沒有保護(hù)好客戶隱私的企業(yè),監(jiān)管機(jī)構(gòu)的處罰力度也是空前大。以美國T-Mobile公司為例,因2021年的大規(guī)模黑客攻擊事件,該公司暴露了7600多萬人的個(gè)人數(shù)據(jù),為此損失了5億美元(3.5億美元的罰款,1.5億美元的額外網(wǎng)絡(luò)安全支出)。
5、開源安全引發(fā)全球政府的關(guān)注
這一年,Linux基金會(huì)、OpenSSF開源安全基金會(huì)以及全球各地的開源社區(qū)都在與當(dāng)?shù)卣o密溝通,推動(dòng)開源供應(yīng)鏈安全的落地。在中國,Linux基金會(huì)亞太區(qū)正與COPU(中國開源軟件推進(jìn)聯(lián)盟)、CAICT(中國信息通信研究院)、CESI(中國電子技術(shù)標(biāo)準(zhǔn)化研究院)、中科院軟件所等機(jī)構(gòu)和頭部科技企業(yè)以及中國開源組織聯(lián)手推進(jìn)以開源安全為主題的技術(shù)活動(dòng)。
其他國家在開源安全方面的動(dòng)作同樣令人欣喜??紤]到整個(gè)軟件安全應(yīng)當(dāng)建立在盡可能多的人參與評(píng)估的基礎(chǔ)上,美國政府宣布不再起訴那些開發(fā)了漏洞但在發(fā)布之前通告社區(qū)的"善意"黑客。
6、全球開源安全形勢(shì)喜憂參半
對(duì)于安全的基礎(chǔ)設(shè)施建設(shè)問題,去年6月,OpenSSF開源安全基金會(huì)向Eclipse基金會(huì)提供了大量的財(cái)政捐助,來作為供應(yīng)鏈安全工作和Alpha-Omega項(xiàng)目(注:關(guān)鍵開源安全項(xiàng)目特別保障計(jì)劃)的一部分資金基礎(chǔ)。可以幫助Eclipse聘請(qǐng)更多供應(yīng)鏈安全人才為其項(xiàng)目提供供應(yīng)鏈安全保障。這一動(dòng)作堪稱全球開源社區(qū)攜手應(yīng)對(duì)開源安全的里程碑。
互聯(lián)網(wǎng)安全中心軟件供應(yīng)鏈安全指南也已創(chuàng)建,在技術(shù)工具方面,云安全創(chuàng)業(yè)公司Aqua Security發(fā)布了開源的審計(jì)工具Chain-Bench,以幫助你的軟件符合該指南的新基準(zhǔn)。
但谷歌的威脅分析小組也分享了一個(gè)讓人不安的趨勢(shì):攻擊者與惡意的ISP合謀在Android和iOS設(shè)備上部署Hermit間諜軟件。
7、人為錯(cuò)誤仍然是軟件安全最大的風(fēng)險(xiǎn)因素
曾有個(gè)馬來西亞系統(tǒng)制造商將一個(gè)沒有密碼保護(hù)的Elastic search服務(wù)器開放給公共互聯(lián)網(wǎng),從而暴露了15000家企業(yè)的敏感數(shù)據(jù),造成嚴(yán)重后果。因此現(xiàn)在很多開源項(xiàng)目已經(jīng)在強(qiáng)制執(zhí)行安全策略,關(guān)鍵的Ruby軟件包管理器RubyGEMS從2022年8月開始強(qiáng)制執(zhí)行安全策略,NodeJS的大型軟件包管理庫npm也采取了類似的措施。
8、軟件安全正在向超出企業(yè)可以應(yīng)對(duì)方向發(fā)展
英國倫敦勞埃德保險(xiǎn)公司(Lloyds of London)表示,與國家有關(guān)聯(lián)的行為者,其網(wǎng)絡(luò)攻擊將不予賠付,對(duì)軟件企業(yè)來說這可能是個(gè)大問題,因?yàn)樵絹碓蕉嗑W(wǎng)絡(luò)犯罪活動(dòng)與國家有關(guān)。美國陸軍剛剛宣布將增加網(wǎng)絡(luò)戰(zhàn)進(jìn)攻小組,并試行進(jìn)攻性網(wǎng)絡(luò)戰(zhàn)課程。軟件界需要采取更多措施自保,因?yàn)楸kU(xiǎn)可能無法保護(hù)我們了。
9、市場對(duì)SBOM的興趣急劇增加
2022是SBOM之年,市場對(duì)SBOM(軟件物料清單)的興趣正在急劇增加。Sonatype發(fā)布了《軟件供應(yīng)鏈狀況報(bào)告》,包含大量重要見解和數(shù)據(jù)。目前,各國政府也接連出臺(tái)了相關(guān)政策和法規(guī),軟件巨頭紛紛響應(yīng):微軟開放了Salus SBOM生成工具包;谷歌推出了GUAC(Graph for Understanding Artifact Composition)免費(fèi)工具,可以將許多不同來源的軟件安全元數(shù)據(jù)匯集在一起,包括SBOM。
如何實(shí)現(xiàn)開源安全長治久安?
加強(qiáng)對(duì)開源信譽(yù)的重視
開源是建基于信任之上的創(chuàng)新,失去信譽(yù)必遭遺棄。在互聯(lián)網(wǎng)上,根證書頒發(fā)機(jī)構(gòu)應(yīng)該是一個(gè)安全、正直、中立的信譽(yù)證書頒發(fā)機(jī)構(gòu)。對(duì)互聯(lián)網(wǎng)這樣的社區(qū)公共資源來說,完全和徹底的中立性是至關(guān)重要的。
TrustCor系統(tǒng)是一家根證書機(jī)構(gòu)(root certificate authority),在互聯(lián)網(wǎng)基礎(chǔ)設(shè)施中處于關(guān)鍵位置。但在《華盛頓郵報(bào)》11月30日的一篇報(bào)道中揭露,TrustCor與一個(gè)疑似生產(chǎn)惡意軟件的美國軍事承包商有聯(lián)系。隨后,微軟Edge和Mozilla Firefox停止將其識(shí)別為值得信賴的證書機(jī)構(gòu)。
更多的軟件供應(yīng)鏈安全最佳實(shí)踐和指南
2022年8月,美國國家安全局(NSA)、ODI和美國國防部的其他機(jī)構(gòu)鑒于網(wǎng)絡(luò)攻擊日益嚴(yán)重,發(fā)布了一份關(guān)于軟件供應(yīng)鏈安全要求和標(biāo)準(zhǔn)的更詳細(xì)的指南(Securing the Software Supply Chain:Recommended Practices for Developers),未來,這個(gè)框架將持續(xù)指導(dǎo)企業(yè)和軟件行業(yè)。OpenSSF開源安全基金會(huì)成立之初也建立了最佳實(shí)踐工作組,已經(jīng)發(fā)布了一系列的最佳實(shí)踐。
立法保護(hù)
歐盟委員會(huì)公布網(wǎng)絡(luò)韌性法案(Cyber Resilience Act),該法案將要求聯(lián)網(wǎng)設(shè)備的制造商在發(fā)貨前確保設(shè)備的安全性、保證提供五年的系統(tǒng)補(bǔ)丁、24小時(shí)的安全事件報(bào)告,并及時(shí)披露和修復(fù)缺陷,保證修復(fù)后的設(shè)備在五年內(nèi)正常使用。對(duì)此,中國制造業(yè)需要特別留意,不遵守規(guī)定可能罰款1500萬美元(1500萬歐元),或上一財(cái)政年度全球總營業(yè)額的2.5%。
加強(qiáng)開源安全教育
這也是OpenSSF開源安全基金會(huì)發(fā)布的保護(hù)開源軟件計(jì)劃中的關(guān)鍵部分,教導(dǎo)開發(fā)者如何編寫更安全的代碼,對(duì)減少軟件漏洞至關(guān)重要。
要發(fā)展教育,增加網(wǎng)絡(luò)安全專家的數(shù)量很有必要。全球都面臨著安全專家短缺的難題,美國政府曾宣布第一個(gè)網(wǎng)絡(luò)安全學(xué)徒?jīng)_刺計(jì)劃,很值得全球推廣。該計(jì)劃雇用了數(shù)千名學(xué)徒,可惜像這樣的好消息沒有得到多少媒體的關(guān)注。我們可以通過教育擁有一個(gè)更安全的未來。
完善代碼托管平臺(tái)的安全功能
過去一年,GitHub發(fā)布了一個(gè)新的Action,可以自動(dòng)向Dependabot API提交SPDX SBOM,這讓人們?cè)谝蕾囆怨芾碇欣肧BOM變得更加容易。另外,GitHub公共代碼庫的所有者和管理者可以啟用私人漏洞報(bào)告,讓安全研究人員在資源庫中安全地報(bào)告漏洞。
安全研究人員經(jīng)常感覺有責(zé)任提醒用戶注意可能被利用的漏洞,而直接給維護(hù)者發(fā)信息,可能會(huì)制造公共問題,導(dǎo)致漏洞細(xì)節(jié)的公開披露。但私人漏洞報(bào)告就能讓安全研究人員很容易使用一個(gè)簡單的表格直接向你發(fā)報(bào)告漏洞,該服務(wù)目前是Beta狀態(tài)。
做好軟件供應(yīng)鏈安全關(guān)鍵基礎(chǔ)設(shè)施建設(shè)
Sigstore是最關(guān)鍵的基礎(chǔ)設(shè)施之一。Sigstore一經(jīng)出現(xiàn),就成為了歷史上采用最快的開源技術(shù)之一,迄今為止,已經(jīng)有超過400萬個(gè)軟件簽名使用Sigstore進(jìn)行記錄,世界上最大的兩個(gè)開源社區(qū):Kubernetes和Python已經(jīng)用Sigstore簽署他們的生產(chǎn)版本。
去年10月,Sigstore社區(qū)宣布其免費(fèi)軟件簽署服務(wù)GA,可用于代碼簽署和驗(yàn)證,使開源社區(qū)獲得生產(chǎn)級(jí)的穩(wěn)定服務(wù)。這也是軟件供應(yīng)鏈安全的一個(gè)里程碑。
這一年,盡管OpenSSF開源安全基金會(huì)的8個(gè)工作組在開源安全方面做了大量工作,也取得了很多成就,其成員單位也突破100家企業(yè),但開源安全的建設(shè)仍然任重道遠(yuǎn)。開源安全是一場馬拉松,在未來的日子里,希望全球協(xié)作,守好開源安全這道防線。