新思科技指出世界在不斷變化，安全事件也不會(huì )停止。但從各種安全事件中學(xué)會(huì )反思和改進(jìn)，才能有機會(huì )跑贏(yíng)攻擊者，防患未然。近日，開(kāi)放源代碼的軟件庫包OpenSSL發(fā)布安全公告，其用于加密通信通道和 HTTPS 連接的開(kāi)源密碼庫中存在兩個(gè)高危漏洞，編號為 CVE-2022-3602 和 CVE-2022-3786，主要影響 OpenSSL 3.0.0 及更高版本。CVE-2022-3602 是一個(gè)任意 4 字節堆棧緩沖區溢出漏洞，可能導致拒絕服務(wù)或遠程代碼執行；CVE-2022-3786 可能會(huì )被攻擊者通過(guò)惡意電子郵件地址利用，通過(guò)緩沖區溢出觸發(fā)拒絕服務(wù)狀態(tài)。目前安全補丁已經(jīng)發(fā)布。

　　此前，OpenSSL預告于11月1日發(fā)布安全補丁。這種做法的好處是讓有關(guān)團隊有機會(huì )在補丁可用之前自查，確定哪些應用程序易受攻擊。但這也是一把雙刃劍：不法分子可能在補丁發(fā)布之前趁機進(jìn)行有針對性的攻擊。通常來(lái)說(shuō)，只有在補丁創(chuàng )建、驗證和可用之后才會(huì )進(jìn)行漏洞披露。

　　新思科技高級安全策略師Jonathan Knudsen表示："此前，OpenSSL的'心臟出血'（Heartbleed）漏洞默認暴露在任何使用易受攻擊版本的OpenSSL 的軟件上，攻擊者很容易利用它來(lái)查看存儲在服務(wù)器內存中的加密密鑰和密碼。新報告的兩個(gè)漏洞雖然高危，但是程度不同。易受攻擊的服務(wù)器需要請求客戶(hù)端證書(shū)身份驗證，這不是常態(tài)。易受攻擊的客戶(hù)端需要連接到惡意服務(wù)器，這是一種常見(jiàn)的攻擊媒介。如果您還不知道軟件中有哪些開(kāi)源組件，請盡快考慮采用軟件組成分析(SCA)工具。一旦您知道哪些軟件包含易受攻擊的 OpenSSL 版本，您就可以制定計劃以?xún)?yōu)先順序更新軟件。對于已經(jīng)部署了軟件供應鏈風(fēng)險管理的企業(yè)來(lái)說(shuō)，他們可以盡快進(jìn)行更新。現階段安全管理還不充分的企業(yè)應該考慮開(kāi)始將軟件供應鏈風(fēng)險管理納入流程。"

　　安全團隊應使用SCA工具對所有軟件進(jìn)行分析，包括創(chuàng )建、獲取、下載或使用的所有軟件，與來(lái)源或功能無(wú)關(guān)（這包括商業(yè)和開(kāi)源軟件）。如果無(wú)法訪(fǎng)問(wèn)應用的源代碼，則應在應用及其庫上使用二進(jìn)制SCA工具。測試結果將顯示使用 OpenSSL 的位置、正在使用的版本以及該版本的源點(diǎn)在哪里。

　　新思科技網(wǎng)絡(luò )安全研究中心首席安全策略師Tim Mackey表示："我也建議企業(yè)采用SCA工具進(jìn)行主動(dòng)掃描。SCA工具掃描應用的源代碼并為該應用程序創(chuàng )建軟件物料清單 (SBOM)。擁有所有軟件的最新、準確和完整的SBOM 是快速響應事件的關(guān)鍵。"

　　新思科技《2022年開(kāi)源安全和風(fēng)險分析》報告（OSSRA）報告調研了17個(gè)行業(yè)，其中計算機硬件和半導體、網(wǎng)絡(luò )安全、能源與清潔技術(shù)，以及物聯(lián)網(wǎng)這四個(gè)行業(yè)被審計的代碼庫中100%包含開(kāi)源組件。其余的垂直行業(yè)的代碼庫中有93%到99%包含開(kāi)源組件。而且這些被審計的代碼庫中有81%包含至少一個(gè)漏洞。

　　由此可見(jiàn)，創(chuàng )建開(kāi)源組件的SBOM的重要性。它可以幫助開(kāi)發(fā)人員快速定位存在風(fēng)險的組件，并合理確定修復工作的優(yōu)先級。全面的SBOM應列出應用程序中的所有開(kāi)源組件以及這些組件的許可證、版本和補丁狀態(tài)。

　　新思科技中國區軟件應用安全業(yè)務(wù)總監楊國梁表示："采用開(kāi)源更容易激發(fā)技術(shù)創(chuàng )新和加速構建可信的協(xié)作模式。因此，中國正在積極系統地布局'十四五'開(kāi)原生態(tài)發(fā)展，以為數字經(jīng)濟提供基礎'養分'。企業(yè)為了滿(mǎn)足用戶(hù)對敏捷迭代的需求，采用開(kāi)源已經(jīng)成為常態(tài)。同時(shí)，軟件供應鏈安全也成了業(yè)界的重點(diǎn)關(guān)注。在全面部署安全治理之前，企業(yè)應該先了解使用了哪些代碼，才能有效開(kāi)展軟件供應鏈安全管理，進(jìn)而以滿(mǎn)足業(yè)務(wù)發(fā)展需求的速度開(kāi)發(fā)可信軟件產(chǎn)品。"