全球開源安全的嚴峻形勢符合大多數安全專家的預期,也在引起開源從業者的警覺。
作者 | 楊軒 Linux 基金會亞太區總監
責編 | 何苗
出品 | CSDN(ID:CSDNnews)
2022 年轉眼間過去,全球疫情的反覆超出了很多人的預料,但是開源安全的嚴峻形勢卻符合大多數安全專家的預期。最典型的例子莫過於 Log4j,自該漏洞出現已經過去一年多,仍有許多組織由於沒有正確修補他們的 Log4j 漏洞,而引發安全事件,在世界各地層出不窮。
美國網絡安全審查委員會曾發布首份報告《回顧 2021 年 12 月的 Log4j 事件》,系統梳理了 Apache Log4j 漏洞的實際影響和未來的威脅。同時指出,Log4j 漏洞風靡全球,而且會長期存在,並將持續在未來引發風險。
我想值此年初,跟大家盤點一下 2022 年發生的、對全球開源安全有重大影響的一些事件,以及該領域正在發生的一些重要走向。
開源安全 9 大現狀
1、歐洲政治危機引發大量新型惡意攻擊軟體
可以說,無論是和平時期還是戰爭時期,出於商業目的對基礎設施進行網絡攻擊都是常態。研究顯示,許多攻擊軟體的開發者和使用者背後都有國際組織和國家的身影。自俄烏衝突爆發以來,三家總部位於德國的風能公司成為了網絡攻擊的目標。
此外,「零日漏洞」的數量在 2022 年創下紀錄,預計在 2023 年被繼續刷新。零日漏洞是指在發現時未修復或此前未知,因此在修復補丁釋出前會有一個時間空檔,黑客可乘著空檔利用漏洞發動攻擊。雖然這種技術對黑客來說尤為珍貴,但對網絡安全專業人士來說就是一場噩夢。安全公司 Mandiant 分析了 2021 年零日漏洞漏洞利用,據其統計,2021 年共發生了 80 起零日漏洞利用案例,而谷歌的 Project Zero 團隊發現了 58 個。總體而言,當前攻擊者比以往任何時候都更敏捷、更會把握時機且更有攻擊性。
2、企業及開發者的開源安全意識有待提高
Log4Shell 常年位居被利用最多的漏洞名單,儘管它在2022 年底才被發現。時至今日,數以百萬計的 Java 應用程式仍然容易受到 Log4Shell 的攻擊。大部分專家對這個結果並不驚訝,因為即使在 Heartbleed 漏洞出現十年後的今天,一些系統仍然受到該漏洞的影響。
義大利特倫托大學的安全研究人員發現,「零日」攻擊也許能讓黑客得到一定的媒體曝光度,但最複雜的惡意黑客更有可能使用已知的舊漏洞做文章。為了更好地評估企業如何才能最好地防禦高級持續性威脅(APTs),他們建立了一個 APT 攻擊的數據集,涵蓋了 2008 年至 2020 年間 350 個活動中的 86 個已知APT。研究人員發現,「大多數 APT 活動採用的是公開的、已知的漏洞」。APTs 「經常重複使用工具、惡意軟體和漏洞,與一般人的想法相悖」,由此可見,迅速而及時地打補丁是開發者必須具備的安全習慣。
3、惡意軟體服務正在成為商品,攻擊者開始瞄準 Dockers
購買一些模塊化的惡意軟體及服務,正在變成一件容易的事,目前已經發現有人將一些普遍使用的系統和服務的惡意軟體,打包在社交媒體 Telegram 上發售。全球網站使用量占 30% 到 50% 的WordPress,已經成為了黑客惡意攻擊的目標之一。
據不完全統計,2022 年上半年大約有 6000 個 WP 網站遭受惡意的JavaScript 注入,基本上都是欺騙大家簽署付費訂閱的應用程式。目前大部分的供應鏈攻擊都集中在 NPM、Maven(Java包庫)和其他包管理器,但是有證據顯示攻擊者開始瞄準 Dockers 了。
4、軟體供應鏈安全的成本越來越高
過去一年,IBM 發布了年度 "數據泄露成本報告",顯示數據泄露的平均成本已經創下歷史新高,達到 435 萬美元。另一項研究顯示,商業電子郵件破壞是最有利可圖的網絡犯罪形式之一。被黑或被偽造的內部商業帳戶付款要求所騙的企業,其年損失預估為75億美元。據美國聯邦調查局稱,蜂巢(Hive)勒索軟體犯罪分子已經襲擊了全球 1300 多家公司,在過去 18 個月裡勒索了大約 1 億美元。
同時,對於沒有保護好客戶隱私的企業,監管機構的處罰力度也是空前大。以美國 T-Mobile 公司為例,因 2021 年的大規模黑客攻擊事件,該公司暴露了 7600 多萬人的個人數據,為此損失了 5 億美元(3.5 億美元的罰款,1.5 億美元的額外網絡安全支出)。
5、開源安全引發全球政府的關注
這一年,Linux 基金會、OpenSSF 開源安全基金會以及全球各地的開源社區都在與當地政府緊密溝通,推動開源供應鏈安全的落地。在中國,Linux 基金會亞太區正與 COPU(中國開源軟體推進聯盟)、CAICT(中國信息通信研究院)、CESI(中國電子技術標準化研究院)、中科院軟體所等機構和頭部科技企業以及中國開源組織聯手推進以開源安全為主題的技術活動。
其他國家在開源安全方面的動作同樣令人欣喜。考慮到整個軟體安全應當建立在儘可能多的人參與評估的基礎上,美國政府宣布不再起訴那些開發了漏洞但在發布之前通告社區的 "善意 "黑客。
6、全球開源安全形勢喜憂參半
對於安全的基礎設施建設問題,去年 6 月,OpenSSF 開源安全基金會向 Eclipse 基金會提供了大量的財政捐助,來作為供應鏈安全工作和 Alpha-Omega 項目(註:關鍵開源安全項目特別保障計劃)的一部分資金基礎。可以幫助 Eclipse 聘請更多供應鏈安全人才為其項目提供供應鏈安全保障。這一動作堪稱全球開源社區攜手應對開源安全的里程碑。
網際網路安全中心軟體供應鏈安全指南也已創建,在技術工具方面,雲安全創業公司 Aqua Security 發布了開源的審計工具 Chain-Bench,以幫助你的軟體符合該指南的新基準。
但谷歌的威脅分析小組也分享了一個讓人不安的趨勢:攻擊者與惡意的 ISP 合謀在 Android 和 iOS 設備上部署 Hermit 間諜軟體。
7、人為錯誤仍然是軟體安全最大的風險因素
曾有個馬來西亞系統製造商將一個沒有密碼保護的 Elastic search 伺服器開放給公共網際網路,從而暴露了 15000 家企業的敏感數據,造成嚴重後果。因此現在很多開源項目已經在強制執行安全策略,關鍵的 Ruby 軟體包管理器 RubyGEMS 從 2022 年 8 月開始強制執行安全策略,NodeJS 的大型軟體包管理庫 npm 也採取了類似的措施。
8、軟體安全正在向超出企業可以應對方向發展
英國倫敦勞埃德保險公司(Lloyds of London)表示,與國家有關聯的行為者,其網絡攻擊將不予賠付,對軟體企業來說這可能是個大問題,因為越來越多網絡犯罪活動與國家有關。美國陸軍剛剛宣布將增加網絡戰進攻小組,並試行進攻性網絡戰課程。軟體界需要採取更多措施自保,因為保險可能無法保護我們了。
9、市場對 SBOM 的興趣急劇增加
2022 是 SBOM之年,市場對 SBOM(軟體物料清單)的興趣正在急劇增加。Sonatype 發布了《軟體供應鏈狀況報告》,包含大量重要見解和數據。目前,各國政府也接連出台了相關政策和法規,軟體巨頭紛紛響應:微軟開放了 Salus SBOM 生成工具包;谷歌推出了 GUAC(Graph for Understanding Artifact Composition)免費工具,可以將許多不同來源的軟體安全元數據匯集在一起,包括 SBOM。
如何實現開源安全長治久安?
加強對開源信譽的重視
開源是建基於信任之上的創新,失去信譽必遭遺棄。在網際網路上,根證書頒發機構應該是一個安全、正直、中立的信譽證書頒發機構。對網際網路這樣的社區公共資源來說,完全和徹底的中立性是至關重要的。
TrustCor 系統是一家根證書機構(root certificate authority),在網際網路基礎設施中處於關鍵位置。但在《華盛頓郵報》11 月 30 日的一篇報導中揭露,TrustCor 與一個疑似生產惡意軟體的美國軍事承包商有聯繫。隨後,微軟 Edge 和 Mozilla Firefox 停止將其識別為值得信賴的證書機構。
更多的軟體供應鏈安全最佳實踐和指南
2022 年 8 月,美國國家安全局(NSA)、ODI 和美國國防部的其他機構鑑於網絡攻擊日益嚴重,發布了一份關於軟體供應鏈安全要求和標準的更詳細的指南 (Securing the Software Supply Chain: Recommended Practices for Developers ),未來,這個框架將持續指導企業和軟體行業。OpenSSF 開源安全基金會成立之初也建立了最佳實踐工作組,已經發布了一系列的最佳實踐。
立法保護
歐盟委員會公布網絡韌性法案(Cyber Resilience Act),該法案將要求聯網設備的製造商在發貨前確保設備的安全性、保證提供五年的系統補丁、24 小時的安全事件報告,並及時披露和修復缺陷,保證修復後的設備在五年內正常使用。對此,中國製造業需要特別留意,不遵守規定可能罰款 1500 萬美元(1500 萬歐元),或上一財政年度全球總營業額的 2.5%。
加強開源安全教育
這也是 OpenSSF 開源安全基金會發布的保護開源軟體計劃中的關鍵部分,教導開發者如何編寫更安全的代碼,對減少軟體漏洞至關重要。
要發展教育,增加網絡安全專家的數量很有必要。全球都面臨著安全專家短缺的難題,美國政府曾宣布第一個網絡安全學徒衝刺計劃,很值得全球推廣。該計劃雇用了數千名學徒,可惜像這樣的好消息沒有得到多少媒體的關注。我們可以通過教育擁有一個更安全的未來。
完善代碼託管平台的安全功能
過去一年,GitHub 發布了一個新的 Action,可以自動向 Dependabot API 提交 SPDX SBOM,這讓人們在依賴性管理中利用 SBOM 變得更加容易。另外,GitHub 公共代碼庫的所有者和管理者可以啟用私人漏洞報告,讓安全研究人員在資源庫中安全地報告漏洞。
安全研究人員經常感覺有責任提醒用戶注意可能被利用的漏洞,而直接給維護者發信息,可能會製造公共問題,導致漏洞細節的公開披露。但私人漏洞報告就能讓安全研究人員很容易使用一個簡單的表格直接向你發報告漏洞,該服務目前是 Beta 狀態。
做好軟體供應鏈安全關鍵基礎設施建設
Sigstore 是最關鍵的基礎設施之一。Sigstore 一經出現,就成為了歷史上採用最快的開源技術之一,迄今為止,已經有超過 400 萬個軟體簽名使用Sigstore 進行記錄,世界上最大的兩個開源社區:Kubernetes 和 Python 已經用 Sigstore 簽署他們的生產版本。
去年 10 月,Sigstore 社區宣布其免費軟體簽署服務 GA,可用於代碼簽署和驗證,使開源社區獲得生產級的穩定服務。這也是軟體供應鏈安全的一個里程碑。
這一年,儘管 OpenSSF 開源安全基金會的 8 個工作組在開源安全方面做了大量工作,也取得了很多成就,其成員單位也突破 100 家企業,但開源安全的建設仍然任重道遠。開源安全是一場馬拉松,在未來的日子裡,希望全球協作,守好開源安全這道防線。