第二屆大會(huì)回顧第20期 OHPM：建設(shè)安全可靠的OpenHarmony生態(tài)軟件倉(cāng)庫(kù)

演講嘉賓 | 楊牧天

回顧整理 | 廖 濤

排版校對(duì) | 宋夕明

嘉賓介紹

OS安全分論壇

楊牧天，北京中科微瀾科技有限公司CEO，中國(guó)科學(xué)院軟件研究所高級(jí)工程師，開(kāi)放原子開(kāi)源基金會(huì)開(kāi)源安全委員會(huì)-安全平臺(tái)工作組組長(zhǎng)。曾參與國(guó)家重點(diǎn)研發(fā)、核高基、863、自然科學(xué)基金等多個(gè)國(guó)家及省部級(jí)重大項(xiàng)目，并擔(dān)任安全應(yīng)用項(xiàng)目負(fù)責(zé)人。擁有多項(xiàng)發(fā)明專利及軟著，相關(guān)研究成果在包括NDSS、IJCAI、ICSE、FSE等國(guó)際頂級(jí)會(huì)議及期刊發(fā)表。

視頻回顧

打開(kāi)嗶哩嗶哩APP，觀看更清晰視頻

正文內(nèi)容

在現(xiàn)代軟件開(kāi)發(fā)中，使用三方庫(kù)可以減少重復(fù)的開(kāi)發(fā)工作，提高代碼的可重用性和可維護(hù)性，保證代碼質(zhì)量。如何建設(shè)安全可靠的OpenHarmony生態(tài)軟件倉(cāng)庫(kù)，提供高質(zhì)量三方庫(kù)及軟件？北京中科微瀾科技有限公司CEO楊牧天在第二屆OpenHarmony技術(shù)大會(huì)上進(jìn)行了精彩分享。

OpenHarmony Package Manager（簡(jiǎn)稱：OHPM），是一個(gè)面向公眾開(kāi)放、用于管理和共享OpenHarmony三方庫(kù)的平臺(tái)，致力于環(huán)境良好的開(kāi)源生態(tài)建設(shè)，并通過(guò)開(kāi)放治理尋求更加豐富的開(kāi)源資源共享與交流。目前，OpenHarmony社區(qū)已經(jīng)上線了超過(guò)130個(gè)JS/ArkTS三方庫(kù)，涵蓋UI、動(dòng)畫(huà)、安全、工具、文件數(shù)據(jù)、網(wǎng)絡(luò)、多媒體以及圖片緩存等類型，涉及多家共建廠商與研究機(jī)構(gòu)。

三方庫(kù)中心倉(cāng)是OpenHarmony生態(tài)的軟件供應(yīng)鏈上游，存儲(chǔ)了OpenHarmony系統(tǒng)及應(yīng)用開(kāi)發(fā)所需的“原材料”，因此其安全保障能力尤為重要。首先，三方庫(kù)中通常含有開(kāi)源軟件，帶來(lái)4類主要風(fēng)險(xiǎn)：（1）繼承性漏洞：影響廣，隱藏深，危害大。當(dāng)上游開(kāi)源組件中存在漏洞時(shí)，該漏洞也會(huì)影響下游使用該組件的軟件；（2）上游源投毒：繞過(guò)防護(hù)植入惡意代碼。攻擊者通過(guò)在供應(yīng)鏈社區(qū)中發(fā)布惡意軟件包，從而實(shí)現(xiàn)攻擊活動(dòng)；（3）維護(hù)性中斷：關(guān)鍵軟件斷供影響業(yè)務(wù)連續(xù)。由于開(kāi)源項(xiàng)目活躍度低、維護(hù)能力不足等原因，導(dǎo)致開(kāi)源軟件無(wú)法可靠供應(yīng)，進(jìn)而影響業(yè)務(wù)連續(xù)性；（4）合規(guī)性沖突：違反開(kāi)源許可協(xié)議導(dǎo)致的風(fēng)險(xiǎn)，例如出海軟件產(chǎn)品禁售等風(fēng)險(xiǎn)。此外，OpenHarmony三方庫(kù)中心倉(cāng)也面臨著隱私、合法合規(guī)、網(wǎng)絡(luò)安全、兼容性、連續(xù)性以及名稱搶注等安全挑戰(zhàn)。

基于上述風(fēng)險(xiǎn)，北京中科微瀾科技有限公司（簡(jiǎn)稱：中科微瀾）技術(shù)團(tuán)隊(duì)正將自主研發(fā)的全鏈路軟件供應(yīng)鏈安全方案應(yīng)用于三方庫(kù)的審核與持續(xù)風(fēng)險(xiǎn)監(jiān)測(cè)，致力于保障開(kāi)源三方庫(kù)及軟件的安全可靠。該方案包括開(kāi)源軟件供應(yīng)鏈風(fēng)險(xiǎn)情報(bào)、中心倉(cāng)庫(kù)安全監(jiān)測(cè)、源碼分析等方面：

微知——開(kāi)源風(fēng)險(xiǎn)情報(bào)感知服務(wù)。微知服務(wù)提供了全面和實(shí)時(shí)的開(kāi)源風(fēng)險(xiǎn)情報(bào)獲取與分析能力，為三方庫(kù)開(kāi)源軟件風(fēng)險(xiǎn)管控提供有效支撐。

微源——開(kāi)源軟件可信中心倉(cāng)。微源通過(guò)對(duì)倉(cāng)庫(kù)內(nèi)軟件從安全性、維護(hù)性、合規(guī)性等方面進(jìn)行持續(xù)評(píng)估，對(duì)高風(fēng)險(xiǎn)軟件及時(shí)下架。

微析——開(kāi)源軟件風(fēng)險(xiǎn)管理平臺(tái)。微析服務(wù)實(shí)現(xiàn)對(duì)軟件開(kāi)發(fā)中引入的開(kāi)源軟件溯源與風(fēng)險(xiǎn)監(jiān)測(cè)，能夠支持對(duì)三方庫(kù)軟件的源碼級(jí)評(píng)估。

在對(duì)OpenHarmony三方庫(kù)中心倉(cāng)保障方案中，研究團(tuán)隊(duì)采用了多項(xiàng)關(guān)鍵技術(shù)，以實(shí)現(xiàn)實(shí)時(shí)、高效、可靠的中心倉(cāng)安全審核與管理能力：

漏洞情報(bào)關(guān)聯(lián)融合技術(shù)

通過(guò)多源漏洞情報(bào)融合，有效整合大量、多源、多維信息，從而提升情報(bào)質(zhì)量與及時(shí)性。同時(shí)，優(yōu)質(zhì)和及時(shí)的漏洞情報(bào)能夠顯著提升漏洞檢測(cè)、評(píng)估等業(yè)務(wù)效果，并為漏洞處置以及分析工作提供有力支撐。

自動(dòng)化供應(yīng)鏈分析技術(shù)

公開(kāi)的開(kāi)源軟件供應(yīng)鏈漏洞情報(bào)存在影響范圍記錄不全面、數(shù)據(jù)準(zhǔn)確率不足等問(wèn)題，會(huì)極大影響相關(guān)風(fēng)險(xiǎn)識(shí)別工作。為此，探究團(tuán)隊(duì)通過(guò)在知識(shí)庫(kù)中對(duì)開(kāi)源軟件上下游關(guān)系、依賴關(guān)系、包含關(guān)系等進(jìn)行預(yù)構(gòu)建和刻畫(huà)，基于補(bǔ)丁比對(duì)的漏洞檢測(cè)技術(shù)+軟件供應(yīng)鏈溯源，構(gòu)建開(kāi)源漏洞傳播模型，并維護(hù)開(kāi)源軟件映射矩陣，將不同數(shù)據(jù)源的軟件歸一化，實(shí)現(xiàn)快速的情報(bào)感知。

動(dòng)態(tài)處置優(yōu)先級(jí)評(píng)估技術(shù)

通過(guò)跟蹤漏洞在外網(wǎng)的討論熱度、輿情、武器化潛力、攻擊事件等多個(gè)維度，綜合評(píng)估漏洞處置優(yōu)先級(jí)，幫助社區(qū)漏洞修復(fù)小組識(shí)別漏洞外部威脅態(tài)勢(shì)，更快修復(fù)關(guān)鍵漏洞。

主體軟件識(shí)別技術(shù)

由于漏洞的影響范圍可能涉及多款軟件，但其中部分軟件可能是由于引用了那些漏洞直接影響的軟件，從而受到影響。在此，將那些漏洞直接影響的軟件稱為主體軟件，通過(guò)識(shí)別和修復(fù)漏洞影響的主體軟件能夠快速消除漏洞影響范圍。

后續(xù)，上述所提到的全鏈路開(kāi)源軟件供應(yīng)鏈安全方案計(jì)劃在充分的評(píng)估和驗(yàn)證后合入到OHPM項(xiàng)目中，進(jìn)一步保障OpenHarmony生態(tài)軟件倉(cāng)庫(kù)的安全可靠。

E N D

關(guān)注我們，獲取更多精彩。

審核編輯 黃宇