峰會回顧第28期 | openBrain開源漏洞感知系統(tǒng)

演講嘉賓 | 楊牧天

回顧整理 | 廖 濤

排版校對 | 李萍萍

嘉賓簡介

楊牧天，北京中科微瀾科技有限公司CEO，開放原子開源基金會開源安全委員會、安全平臺工作組組長，開放原子開源基金會OpenX開源研究項目開源漏洞治理、開源軟件知識圖譜等多個專題組專家。曾參與國家重點研發(fā)、自然科學基金等多個國家及省部級重大項目，擔任多個安全項目負責人，在開源操作系統(tǒng)安全方向具有豐富研究和實踐經(jīng)驗。擁有多項發(fā)明專利及軟著，相關研究成果在包括NDSS、IJCAI、ICSE、FSE等國際頂級會議及期刊發(fā)表。

內容來源

第一屆開放原子開源基金會OpenHarmony技術峰會——安全及機密計算分論壇

視頻回顧

打開 嗶哩嗶哩APP 搜索 OpenHarmony-TSC 視頻更清晰

正 文 內 容

在過去幾年中, 開源代碼組件和開源代碼社區(qū)大量增長，開源漏洞數(shù)量也隨之激增，帶來了嚴重的安全風險。如何提前感知開源漏洞并及時處置是軟件安全領域的重要課題之一，北京中科微瀾科技有限公司CEO楊牧天在第一屆OpenHarmony技術峰會上分享了當前工業(yè)界相關技術發(fā)展和實踐。

01?

微瀾簡介

北京中科微瀾科技有限公司是中國科學院軟件研究所科技成果轉化企業(yè)，獲批中關村高新技術企業(yè)、國家高新技術企業(yè)、國家信息安全標準委員會認證以及北京市專精特新企業(yè)等，主要致力于以漏洞情報知識化為核心，打造人機協(xié)同的新型安全基礎設施。目前，微瀾支持200多種漏洞數(shù)據(jù)源，包括官方漏洞源、第三方情報源、CNA組織源、廠商及上游SA數(shù)據(jù)源等，以獲取更為準確的影響范圍以及修復版本，為企業(yè)提供更精準的漏洞概況。

02?

開源漏洞核心問題

對于開源操作系統(tǒng)來說，安全漏洞是核心問題之一。目前，開源社區(qū)在安全漏洞的發(fā)現(xiàn)與處置上仍存在以下不足：

漏洞情報較為分散：不同維度的漏洞情報分散在大量不同數(shù)據(jù)源，需要人工閱讀、分析、理解，尋找關鍵知識并提取知識間的聯(lián)系，需要較高的經(jīng)驗和時間成本。并非每個開源貢獻者都是安全專家，開源社區(qū)需要漏洞情報的自動化知識提取、關聯(lián)與分析技術，以降低人工參與環(huán)節(jié)；

漏洞感知時效性較低：在漏洞公開披露前，更早獲取漏洞情報能夠幫助開源社區(qū)盡早開展漏洞處置工作。社區(qū)需要具備高時效性的漏洞感知能力，在漏洞情報出現(xiàn)早期進行跟蹤并識別對自身影響；

漏洞處置速度較慢：安全漏洞管理流程主要包含了漏洞接收、漏洞威脅評估、漏洞修復驗證、私有披露與公開披露。其中漏洞評估需要漏洞細節(jié)、驗證程序等關鍵知識，漏洞修復可能需要等待上游補丁。開源社區(qū)只能通過建立合理高效的組織和流程，及時提供關鍵知識以加快漏洞處置速度。

03?

openBrain漏洞感知系統(tǒng)

基于上述開源漏洞發(fā)現(xiàn)與處置的現(xiàn)實痛點，開發(fā)openBrain漏洞感知系統(tǒng)，通過在全球范圍進行實時的漏洞情報獲取、匯總與分析，為開源社區(qū)提供相關漏洞情報與關鍵知識，能夠大大提升社區(qū)漏洞管理效率并降低人員與經(jīng)驗成本。此外，系統(tǒng)具備自動化漏洞感知，人機協(xié)同漏洞響應能力，能夠從大量的實時漏洞情報中感知與開源社區(qū)相關的關鍵信息，提升社區(qū)漏洞響應效率。結合標準漏洞管理與披露流程，實現(xiàn)人機協(xié)同新模式。

開發(fā)與實現(xiàn)openBrain漏洞感知系統(tǒng)存在以下挑戰(zhàn)：

挑戰(zhàn)1：漏洞情報源錯誤。漏洞情報源存在漏洞數(shù)據(jù)錯誤或不全的情況，很大程度影響可信度，進而影響漏洞識別、驗證、修復等工作；

挑戰(zhàn)2：漏洞情報分散。漏洞情報通常分散在不同數(shù)據(jù)源，對漏洞構建全面的知識需要從多類數(shù)據(jù)源進行數(shù)據(jù)匯總；

挑戰(zhàn)3：開源軟件命名規(guī)則不統(tǒng)一。在不同漏洞情報源中，開源軟件命名規(guī)則不統(tǒng)一，導致漏洞情報難以及時響應；

挑戰(zhàn)4：同源開源軟件代碼差異。同源代碼修改可能剪除或引入漏洞；

挑戰(zhàn)5：大規(guī)模軟件供應鏈分析。在大規(guī)模開源項目中，通過對代碼切片比對等傳統(tǒng)手段效率不足，準確性與全面性難以兼顧，難以滿足時效性要求；

挑戰(zhàn)6：漏洞情報質量與時效性權衡問題。早期出現(xiàn)的漏洞情報通常內容較少，不夠準確。開源軟件作為基礎設施的核心要素，需要更早的漏洞情報并盡快進行響應，然而不準確的漏洞情報則會給社區(qū)帶來額外負擔。

針對挑戰(zhàn)1和2，openBrain漏洞感知系統(tǒng)采取了漏洞情報融合與結構化技術。通過多源漏洞情報融合，有效整合大量、多源、多維信息，從而提升情報質量與及時性。同時，優(yōu)質和及時的漏洞情報能夠顯著提升漏洞檢測、評估等業(yè)務效果，并為漏洞處置以及分析工作提供有力支撐。該技術的主要步驟如下：（1）構建統(tǒng)一的知識存儲結構；（2）對漏洞情報進行分類，提取關鍵實體，例如受影響軟件、版本、補丁、PoC、安全事件等，形成關聯(lián)關系；（3）漏洞情報錯誤校正與信息補全。

針對挑戰(zhàn)3、4和5，openBrain漏洞感知系統(tǒng)采取了自動化供應鏈分析手段。通過在知識庫中對開源軟件上下游關系、依賴關系、包含關系等進行預構建和刻畫。并基于補丁比對的漏洞檢測技術+軟件供應鏈溯源，構建開源漏洞傳播模型， 維護開源軟件映射矩陣，將不同數(shù)據(jù)源的軟件歸一化，實現(xiàn)快速的情報感知。

針對挑戰(zhàn)6，openBrain漏洞感知系統(tǒng)采取了漏洞情報動態(tài)評級方案。通過根據(jù)不同情報內容和漏洞判定方式，實現(xiàn)漏洞情報動態(tài)評級系統(tǒng)，在每次情報更新后更新評級，并以此判斷情報與開源項目的相關性。

此外，openBrain還提供實時漏洞情報數(shù)據(jù)匯總，并形成漏洞情報共享接口。Standard Vulnerability Schema涵蓋數(shù)百個漏洞情報源，能夠實時更新結構化漏洞情報，面向工具和業(yè)務進行情報共享。

在應用上，openBrain漏洞感知系統(tǒng)從建立之初至2022年10月的兩年時間中，涵蓋了超過26.5萬的漏洞數(shù)量，在開源社區(qū)中創(chuàng)建的漏洞issue數(shù)量達到了7千多個，整個漏洞貢獻占到全社區(qū)的95%，節(jié)省了大量的人力成本，解放了社區(qū)更多的開發(fā)和創(chuàng)新生產力。其中，1119個漏洞早于美國國家安全漏洞庫（NVD）向社區(qū)披露，平均的提前感知時長達到23天。

openBrain開源漏洞感知系統(tǒng)是依托漏洞情報自動化獲取、知識化與智能分析等技術而形成新型安全基礎設施，openBrain在開源社區(qū)的應用探索證明了其在開源項目漏洞管理過程中具有很高的價值，能夠在降低人力投入的同時極大提升開源社區(qū)安全保障能力，讓開發(fā)者更加專注于創(chuàng)新。

04?

未來展望

目前，微瀾正在向OpenHarmony進行能力擴展，幫助社區(qū)降低漏洞情報獲取難度，提升安全漏洞發(fā)現(xiàn)和處置效率，打造更安全的OpenHarmony。也希望大家關注微瀾，關注開源漏洞感知及處理相關技術的發(fā)展，共同為更多開源項目提供支撐，為開源生態(tài)安全發(fā)展提供新能力與更大價值。

E N D

點擊下方閱讀原文獲取演講PPT。

關注我們，獲取更多精彩。

審核編輯 黃宇