本文来自企鹅号CSDN,作者|杨轩Linux基金会亚太区总监,责编|何苗,出品|CSDN(ID:CSDNnews)。
2022年转眼间过去,全球疫情的反复超出了很多人的预料,但是开源安全的严峻形势却符合大多数安全专家的预期。最典型的例子莫过于Log4j,自该漏洞出现已经过去一年多,仍有许多组织由于没有正确修补他们的Log4j漏洞,而引发安全事件,在世界各地层出不穷。
美国网络安全审查委员会曾发布首份报告《回顾2021年12月的Log4j事件》,系统梳理了Apache Log4j漏洞的实际影响和未来的威胁。同时指出,Log4j漏洞风靡全球,而且会长期存在,并将持续在未来引发风险。
我想值此年初,跟大家盘点一下2022年发生的、对全球开源安全有重大影响的一些事件,以及该领域正在发生的一些重要走向。
开源安全9大现状
1、欧洲政治危机引发大量新型恶意攻击软件
可以说,无论是和平时期还是战争时期,出于商业目的对基础设施进行网络攻击都是常态。研究显示,许多攻击软件的开发者和使用者背后都有国际组织和国家的身影。自俄乌冲突爆发以来,三家总部位于德国的风能公司成为了网络攻击的目标。
此外,“零日漏洞”的数量在2022年创下纪录,预计在2023年被继续刷新。零日漏洞是指在发现时未修复或此前未知,因此在修复补丁释出前会有一个时间空档,黑客可乘着空档利用漏洞发动攻击。虽然这种技术对黑客来说尤为珍贵,但对网络安全专业人士来说就是一场噩梦。安全公司Mandiant分析了2021年零日漏洞漏洞利用,据其统计,2021年共发生了80起零日漏洞利用案例,而谷歌的Project Zero团队发现了58个。总体而言,当前攻击者比以往任何时候都更敏捷、更会把握时机且更有攻击性。
2、企业及开发者的开源安全意识有待提高
Log4Shell常年位居被利用最多的漏洞名单,尽管它在2022年底才被发现。时至今日,数以百万计的Java应用程序仍然容易受到Log4Shell的攻击。大部分专家对这个结果并不惊讶,因为即使在Heartbleed漏洞出现十年后的今天,一些系统仍然受到该漏洞的影响。
意大利特伦托大学的安全研究人员发现,“零日”攻击也许能让黑客得到一定的媒体曝光度,但最复杂的恶意黑客更有可能使用已知的旧漏洞做文章。为了更好地评估企业如何才能最好地防御高级持续性威胁(APTs),他们建立了一个APT攻击的数据集,涵盖了2008年至2020年间350个活动中的86个已知APT。研究人员发现,“大多数APT活动采用的是公开的、已知的漏洞”。APTs“经常重复使用工具、恶意软件和漏洞,与一般人的想法相悖”,由此可见,迅速而及时地打补丁是开发者必须具备的安全习惯。
3、恶意软件服务正在成为商品,攻击者开始瞄准Dockers
购买一些模块化的恶意软件及服务,正在变成一件容易的事,目前已经发现有人将一些普遍使用的系统和服务的恶意软件,打包在社交媒体Telegram上发售。全球网站使用量占30%到50%的WordPress,已经成为了黑客恶意攻击的目标之一。
据不完全统计,2022年上半年大约有6000个WP网站遭受恶意的JavaScript注入,基本上都是欺骗大家签署付费订阅的应用程序。目前大部分的供应链攻击都集中在NPM、Maven(Java包库)和其他包管理器,但是有证据显示攻击者开始瞄准Dockers了。
4、软件供应链安全的成本越来越高
过去一年,IBM发布了年度"数据泄露成本报告",显示数据泄露的平均成本已经创下历史新高,达到435万美元。另一项研究显示,商业电子邮件破坏是最有利可图的网络犯罪形式之一。被黑或被伪造的内部商业账户付款要求所骗的企业,其年损失预估为75亿美元。据美国联邦调查局称,蜂巢(Hive)勒索软件犯罪分子已经袭击了全球1300多家公司,在过去18个月里勒索了大约1亿美元。
同时,对于没有保护好客户隐私的企业,监管机构的处罚力度也是空前大。以美国T-Mobile公司为例,因2021年的大规模黑客攻击事件,该公司暴露了7600多万人的个人数据,为此损失了5亿美元(3.5亿美元的罚款,1.5亿美元的额外网络安全支出)。
5、开源安全引发全球政府的关注
这一年,Linux基金会、OpenSSF开源安全基金会以及全球各地的开源社区都在与当地政府紧密沟通,推动开源供应链安全的落地。在中国,Linux基金会亚太区正与COPU(中国开源软件推进联盟)、CAICT(中国信息通信研究院)、CESI(中国电子技术标准化研究院)、中科院软件所等机构和头部科技企业以及中国开源组织联手推进以开源安全为主题的技术活动。
其他国家在开源安全方面的动作同样令人欣喜。考虑到整个软件安全应当建立在尽可能多的人参与评估的基础上,美国政府宣布不再起诉那些开发了漏洞但在发布之前通告社区的"善意"黑客。
6、全球开源安全形势喜忧参半
对于安全的基础设施建设问题,去年6月,OpenSSF开源安全基金会向Eclipse基金会提供了大量的财政捐助,来作为供应链安全工作和Alpha-Omega项目(注:关键开源安全项目特别保障计划)的一部分资金基础。可以帮助Eclipse聘请更多供应链安全人才为其项目提供供应链安全保障。这一动作堪称全球开源社区携手应对开源安全的里程碑。
互联网安全中心软件供应链安全指南也已创建,在技术工具方面,云安全创业公司Aqua Security发布了开源的审计工具Chain-Bench,以帮助你的软件符合该指南的新基准。
但谷歌的威胁分析小组也分享了一个让人不安的趋势:攻击者与恶意的ISP合谋在Android和iOS设备上部署Hermit间谍软件。
7、人为错误仍然是软件安全最大的风险因素
曾有个马来西亚系统制造商将一个没有密码保护的Elastic search服务器开放给公共互联网,从而暴露了15000家企业的敏感数据,造成严重后果。因此现在很多开源项目已经在强制执行安全策略,关键的Ruby软件包管理器RubyGEMS从2022年8月开始强制执行安全策略,NodeJS的大型软件包管理库npm也采取了类似的措施。
8、软件安全正在向超出企业可以应对方向发展
英国伦敦劳埃德保险公司(Lloyds of London)表示,与国家有关联的行为者,其网络攻击将不予赔付,对软件企业来说这可能是个大问题,因为越来越多网络犯罪活动与国家有关。美国陆军刚刚宣布将增加网络战进攻小组,并试行进攻性网络战课程。软件界需要采取更多措施自保,因为保险可能无法保护我们了。
9、市场对SBOM的兴趣急剧增加
2022是SBOM之年,市场对SBOM(软件物料清单)的兴趣正在急剧增加。Sonatype发布了《软件供应链状况报告》,包含大量重要见解和数据。目前,各国政府也接连出台了相关政策和法规,软件巨头纷纷响应:微软开放了Salus SBOM生成工具包;谷歌推出了GUAC(Graph for Understanding Artifact Composition)免费工具,可以将许多不同来源的软件安全元数据汇集在一起,包括SBOM。
如何实现开源安全长治久安?
加强对开源信誉的重视
开源是建基于信任之上的创新,失去信誉必遭遗弃。在互联网上,根证书颁发机构应该是一个安全、正直、中立的信誉证书颁发机构。对互联网这样的社区公共资源来说,完全和彻底的中立性是至关重要的。
TrustCor系统是一家根证书机构(root certificate authority),在互联网基础设施中处于关键位置。但在《华盛顿邮报》11月30日的一篇报道中揭露,TrustCor与一个疑似生产恶意软件的美国军事承包商有联系。随后,微软Edge和Mozilla Firefox停止将其识别为值得信赖的证书机构。
更多的软件供应链安全最佳实践和指南
2022年8月,美国国家安全局(NSA)、ODI和美国国防部的其他机构鉴于网络攻击日益严重,发布了一份关于软件供应链安全要求和标准的更详细的指南(Securing the Software Supply Chain:Recommended Practices for Developers),未来,这个框架将持续指导企业和软件行业。OpenSSF开源安全基金会成立之初也建立了最佳实践工作组,已经发布了一系列的最佳实践。
立法保护
欧盟委员会公布网络韧性法案(Cyber Resilience Act),该法案将要求联网设备的制造商在发货前确保设备的安全性、保证提供五年的系统补丁、24小时的安全事件报告,并及时披露和修复缺陷,保证修复后的设备在五年内正常使用。对此,中国制造业需要特别留意,不遵守规定可能罚款1500万美元(1500万欧元),或上一财政年度全球总营业额的2.5%。
加强开源安全教育
这也是OpenSSF开源安全基金会发布的保护开源软件计划中的关键部分,教导开发者如何编写更安全的代码,对减少软件漏洞至关重要。
要发展教育,增加网络安全专家的数量很有必要。全球都面临着安全专家短缺的难题,美国政府曾宣布第一个网络安全学徒冲刺计划,很值得全球推广。该计划雇用了数千名学徒,可惜像这样的好消息没有得到多少媒体的关注。我们可以通过教育拥有一个更安全的未来。
完善代码托管平台的安全功能
过去一年,GitHub发布了一个新的Action,可以自动向Dependabot API提交SPDX SBOM,这让人们在依赖性管理中利用SBOM变得更加容易。另外,GitHub公共代码库的所有者和管理者可以启用私人漏洞报告,让安全研究人员在资源库中安全地报告漏洞。
安全研究人员经常感觉有责任提醒用户注意可能被利用的漏洞,而直接给维护者发信息,可能会制造公共问题,导致漏洞细节的公开披露。但私人漏洞报告就能让安全研究人员很容易使用一个简单的表格直接向你发报告漏洞,该服务目前是Beta状态。
做好软件供应链安全关键基础设施建设
Sigstore是最关键的基础设施之一。Sigstore一经出现,就成为了历史上采用最快的开源技术之一,迄今为止,已经有超过400万个软件签名使用Sigstore进行记录,世界上最大的两个开源社区:Kubernetes和Python已经用Sigstore签署他们的生产版本。
去年10月,Sigstore社区宣布其免费软件签署服务GA,可用于代码签署和验证,使开源社区获得生产级的稳定服务。这也是软件供应链安全的一个里程碑。
这一年,尽管OpenSSF开源安全基金会的8个工作组在开源安全方面做了大量工作,也取得了很多成就,其成员单位也突破100家企业,但开源安全的建设仍然任重道远。开源安全是一场马拉松,在未来的日子里,希望全球协作,守好开源安全这道防线。