演講嘉賓 | 楊牧天
回顧整理 | 廖 濤
排版校對 | 宋夕明
嘉賓介紹
OS安全分論壇
楊牧天,北京中科微瀾科技有限公司CEO,中國科學(xué)院軟件研究所高級工程師,開放原子開源基金會開源安全委員會-安全平臺工作組組長。曾參與國家重點(diǎn)研發(fā)、核高基、863、自然科學(xué)基金等多個國家及省部級重大項目,并擔(dān)任安全應(yīng)用項目負(fù)責(zé)人。擁有多項發(fā)明專利及軟著,相關(guān)研究成果在包括NDSS、IJCAI、ICSE、FSE等國際頂級會議及期刊發(fā)表。
視頻回顧
打開嗶哩嗶哩APP,觀看更清晰視頻
正文內(nèi)容
在現(xiàn)代軟件開發(fā)中,使用三方庫可以減少重復(fù)的開發(fā)工作,提高代碼的可重用性和可維護(hù)性,保證代碼質(zhì)量。如何建設(shè)安全可靠的OpenHarmony生態(tài)軟件倉庫,提供高質(zhì)量三方庫及軟件?北京中科微瀾科技有限公司CEO楊牧天在第二屆OpenHarmony技術(shù)大會上進(jìn)行了精彩分享。
OpenHarmony Package Manager(簡稱:OHPM),是一個面向公眾開放、用于管理和共享OpenHarmony三方庫的平臺,致力于環(huán)境良好的開源生態(tài)建設(shè),并通過開放治理尋求更加豐富的開源資源共享與交流。目前,OpenHarmony社區(qū)已經(jīng)上線了超過130個JS/ArkTS三方庫,涵蓋UI、動畫、安全、工具、文件數(shù)據(jù)、網(wǎng)絡(luò)、多媒體以及圖片緩存等類型,涉及多家共建廠商與研究機(jī)構(gòu)。
三方庫中心倉是OpenHarmony生態(tài)的軟件供應(yīng)鏈上游,存儲了OpenHarmony系統(tǒng)及應(yīng)用開發(fā)所需的“原材料”,因此其安全保障能力尤為重要。首先,三方庫中通常含有開源軟件,帶來4類主要風(fēng)險:(1)繼承性漏洞:影響廣,隱藏深,危害大。當(dāng)上游開源組件中存在漏洞時,該漏洞也會影響下游使用該組件的軟件;(2)上游源投毒:繞過防護(hù)植入惡意代碼。攻擊者通過在供應(yīng)鏈社區(qū)中發(fā)布惡意軟件包,從而實現(xiàn)攻擊活動;(3)維護(hù)性中斷:關(guān)鍵軟件斷供影響業(yè)務(wù)連續(xù)。由于開源項目活躍度低、維護(hù)能力不足等原因,導(dǎo)致開源軟件無法可靠供應(yīng),進(jìn)而影響業(yè)務(wù)連續(xù)性;(4)合規(guī)性沖突:違反開源許可協(xié)議導(dǎo)致的風(fēng)險,例如出海軟件產(chǎn)品禁售等風(fēng)險。此外,OpenHarmony三方庫中心倉也面臨著隱私、合法合規(guī)、網(wǎng)絡(luò)安全、兼容性、連續(xù)性以及名稱搶注等安全挑戰(zhàn)。
基于上述風(fēng)險,北京中科微瀾科技有限公司(簡稱:中科微瀾)技術(shù)團(tuán)隊正將自主研發(fā)的全鏈路軟件供應(yīng)鏈安全方案應(yīng)用于三方庫的審核與持續(xù)風(fēng)險監(jiān)測,致力于保障開源三方庫及軟件的安全可靠。該方案包括開源軟件供應(yīng)鏈風(fēng)險情報、中心倉庫安全監(jiān)測、源碼分析等方面:
微知——開源風(fēng)險情報感知服務(wù)。微知服務(wù)提供了全面和實時的開源風(fēng)險情報獲取與分析能力,為三方庫開源軟件風(fēng)險管控提供有效支撐。
微源——開源軟件可信中心倉。微源通過對倉庫內(nèi)軟件從安全性、維護(hù)性、合規(guī)性等方面進(jìn)行持續(xù)評估,對高風(fēng)險軟件及時下架。
微析——開源軟件風(fēng)險管理平臺。微析服務(wù)實現(xiàn)對軟件開發(fā)中引入的開源軟件溯源與風(fēng)險監(jiān)測,能夠支持對三方庫軟件的源碼級評估。
在對OpenHarmony三方庫中心倉保障方案中,研究團(tuán)隊采用了多項關(guān)鍵技術(shù),以實現(xiàn)實時、高效、可靠的中心倉安全審核與管理能力:
漏洞情報關(guān)聯(lián)融合技術(shù)
通過多源漏洞情報融合,有效整合大量、多源、多維信息,從而提升情報質(zhì)量與及時性。同時,優(yōu)質(zhì)和及時的漏洞情報能夠顯著提升漏洞檢測、評估等業(yè)務(wù)效果,并為漏洞處置以及分析工作提供有力支撐。
自動化供應(yīng)鏈分析技術(shù)
公開的開源軟件供應(yīng)鏈漏洞情報存在影響范圍記錄不全面、數(shù)據(jù)準(zhǔn)確率不足等問題,會極大影響相關(guān)風(fēng)險識別工作。為此,探究團(tuán)隊通過在知識庫中對開源軟件上下游關(guān)系、依賴關(guān)系、包含關(guān)系等進(jìn)行預(yù)構(gòu)建和刻畫,基于補(bǔ)丁比對的漏洞檢測技術(shù)+軟件供應(yīng)鏈溯源,構(gòu)建開源漏洞傳播模型,并維護(hù)開源軟件映射矩陣,將不同數(shù)據(jù)源的軟件歸一化,實現(xiàn)快速的情報感知。
動態(tài)處置優(yōu)先級評估技術(shù)
通過跟蹤漏洞在外網(wǎng)的討論熱度、輿情、武器化潛力、攻擊事件等多個維度,綜合評估漏洞處置優(yōu)先級,幫助社區(qū)漏洞修復(fù)小組識別漏洞外部威脅態(tài)勢,更快修復(fù)關(guān)鍵漏洞。
主體軟件識別技術(shù)
由于漏洞的影響范圍可能涉及多款軟件,但其中部分軟件可能是由于引用了那些漏洞直接影響的軟件,從而受到影響。在此,將那些漏洞直接影響的軟件稱為主體軟件,通過識別和修復(fù)漏洞影響的主體軟件能夠快速消除漏洞影響范圍。
后續(xù),上述所提到的全鏈路開源軟件供應(yīng)鏈安全方案計劃在充分的評估和驗證后合入到OHPM項目中,進(jìn)一步保障OpenHarmony生態(tài)軟件倉庫的安全可靠。
E N D
關(guān)注我們,獲取更多精彩。
審核編輯 黃宇
-
開源
+關(guān)注
關(guān)注
3文章
3309瀏覽量
42471 -
OpenHarmony
+關(guān)注
關(guān)注
25文章
3713瀏覽量
16254
發(fā)布評論請先 登錄
相關(guān)推薦
評論