Linux基金会联合厂商成立开源安全基金会OpenSSF
2020-08-05 10:05:05 
阿炯
2020年8月,Linux 基金会宣布与多家硬件和软件厂商合作,共同成立了开源安全基金会(OpenSSF),这是一项跨行业的合作,通过建立具有针对性的计划和最佳实践的更广泛的社区,并将领导者聚集在一起,以提升开源软件安全性。
OpenSSF 的成员来自核心基础设施联盟(Core Infrastructure Initiative)、GitHub 开源安全联盟和和其他创始董事会成员,例如 GitHub、Google、IBM、摩根大通、微软、NCC 集团、OWASP 基金会 和 Red Hat。其他创始成员还包括 ElevenPaths, GitLab, HackerOne, Intel, Okta, Purdue, SAFECode, StackHawk, Trail of Bits, Uber 和 VMware。
按照 OpenSSF 官网的介绍,基金会的治理、技术社区及其决策将是透明的,开发的任何规范和项目都将与供应商无关。OpenSSF 致力于与上游社区以及与现有社区的协作和合作,以提升开源安全性。也就是说他们旨在成为一个透明的组织,借此促进厂商之间的合作并提升安全性。
组织的正式成立包括设立一个理事会(Governing Board),一个技术咨询委员会(Technical Advisory Council),并对每个工作组和项目进行单独的监督。OpenSSF 打算举办多项开源技术计划,以支持世界上最关键的开源软件的安全性,所有这些都将在 GitHub 上公开进行。最初的 OpenSSF 技术咨询委员会得到了来自 GitHub、谷歌、摩根大通、IBM、红帽、微软和 NCC 集团等利益相关者的支持。他们将致力于增强安全工具性能和安全最佳实践、提升识别威胁能力、确保关键项目安全、改进开发者身份验证机制以及类似的举措。
更多详情访问 OpenSSF.org 。
信息安全中常用术语介绍
在一些重大的安全事件发生后,经常会在相关新闻或是文档中看到一些相关的安全术语,比如:VUL、CVE、Exp、PoC 等。本文就来对这些常用术语的具体含义和用途做一个基本的讲解,以便于以后不会在傻傻分不清这些术语的含义。
什么是 VUL
VUL,Vulnerability 的缩写,泛指漏洞。
什么是 0day 漏洞 和 0day 攻击
0day 漏洞,又称零日漏洞 「zero-day」。是已经被发现 (有可能未被公开),而官方还没有相关补丁的漏洞。通俗地讲就是除了漏洞发现者,没有其他的人知道这个漏洞的存在,并且可以有效地加以利用,发起的攻击往往具有很大的突发性与破坏性。
零日攻击或零时差攻击「zero-dayattack」则是指利用这种漏洞进行的攻击,提供该漏洞细节或者利用程序的人通常是该漏洞的发现者。零日漏洞的利用程序对网络安全具有巨大威胁,因此零日漏洞不但是黑客的最爱,掌握多少零日漏洞也成为评价黑客技术水平的一个重要参数。
什么是 CVE
CVE 的英文全称是 「Common Vulnerabilities & Exposures」 公共漏洞和暴露,例如 CVE-2015-0057、CVE-1999-0001 等等。CVE 就好像是一个字典表,为广泛认同的信息安全漏洞或者已经暴露出来的弱点给出一个公共的名称。这在Linux的修补程序公告中出现得比较多的一种。如果在一个漏洞报告中指明的一个漏洞,有 CVE 名称的话你就可以快速地在任何其它 CVE 兼容的数据库中找到相应修补的信息,解决安全问题。
什么是 PoC
PoC「Proof of Concept」, 中文译作概念验证。在安全界,你可以理解成为漏洞验证程序。和一些应用程序相比,PoC 是一段不完整的程序,仅仅是为了证明提出者的观点的一段代码。这个术语会在漏洞报告中使用,漏洞报告中的 PoC 则是一段说明或者一个攻击的样例,使得读者能够确认这个漏洞是真实存在的。
什么是 Exp
Exp 「Exploit」,中文译作漏洞利用程序。简单讲就是一段可以发挥漏洞价值的程序,比如:目标存在一个 SQL 注入漏洞,然后被你知道了,然后你编写了一个程序,通过这个 SQL 注入漏洞,拿到了目标的权限,那么这个程序就是所谓的 Exp 了。当然,如果你没有使用这个漏洞,它就这么放着,那么这个漏洞,对你来说可以认为是没有价值的。
关于 PoC/Exp 的几个误区
1.写 PoC 要会 Python
PoC 的存在,只有一个目的:证明漏洞存在。而关于 PoC 的形式,或者说代码实现方式,你想用什么方式,就用什么方式。推荐 Python, 只是说安全界用 Python 的人居多,你写的东西能被更多人看懂,还有 Python 这门语言的灵活,类库强大等特性,给编写的人提供了很大便利。
2.PoC 就是 Exp
严格来讲,PoC 和 Exp 是两个东西。PoC 就是用来证明漏洞存在的,而 Exp 是用来利用这个漏洞的。在很多情况下我们知道了漏洞存在,却不知道具体怎么利用,编写一个 PoC 非常简单,而编写一个 Exp 是相当有挑战性的。
PoC 和 Exp 的区别就有点像你发现了家门口的超市的锁有问题,你给人家证明锁有问题和通过锁有问题这个现象偷到超市的钱这是两码事。
什么是漏洞靶场
漏洞靶场 「Vulnerability Firing Range」 就是一个已经复现了漏洞让你测试漏洞用的环境,一般用虚拟机或者 Docker 来实现的。如果想快速构建一个测试用的漏洞靶场,可使用 Vulhub 项目快速部署漏洞测试靶场。Vulhub 是一个基于 docker 和 docker-compose 的漏洞环境集合,让漏洞复现变得更加简单,让安全研究者更加专注于漏洞原理本身。
什么是 CVSS
CVSS 全称是 「Common Vulnerability Scoring System」即通用漏洞评分系统。CVSS 是一个行业公开标准,其被设计用来评测漏洞的严重程度,并帮助确定所需反应的紧急度和重要度。
CVSS 是安全内容自动化协议「SCAP」的一部分,通常 CVSS 同 CVE 一同由美国国家漏洞标准库「National Vulnerabiliy Database」发布,由美国国家基础建设咨询委员会「NIAC」委托制作,是一套公开的评测标准,经常被用来评测企业资讯科技系统的安全性,并受到 eBay、Symantec、Cisco、Oracle 等众多厂商支援。
CVSS 的目标是为所有软件安全漏洞提供一个严重程度的评级,这就意味着 CVSS 旨在为一个已知的安全漏洞的严重程度提供一个数值(分数)。而不管这个安全漏洞影响的软件类型是什么,不管它是操作系统、杀毒软件、数据库、邮件服务器、桌面还是商务应用程序。
由于这个评分范围非常广,这个评分系统把能够完全攻破操作系统层的已知安全漏洞评为基准分数 10.0 分。换句话说,CVSS 基准分数为 10.0 分的安全漏洞一般指能够完全攻破系统的安全漏洞。典型的结果是攻击者完全控制一个系统,包括操作系统层的管理或者 Root 权限。例如:国家安全漏洞数据库中一个第三方产品中的这种安全漏洞被解释为:攻击者能够安装程序、观看、修改或者删除数据,或者创建拥有用户全部权利的新账户。
CVSS 的主要目的是帮助人们建立衡量漏洞严重程度的标准,使得人们可以比较漏洞的严重程度,从而确定处理它们的优先级。CVSS 得分基于一系列维度上的测量结果,这些测量维度被称为量度「Metrics」。漏洞的最终得分最大为 10,最小为 0。得分 7-10 的漏洞通常被认为比较严重,得分在 4-6.9 之间的是中级漏洞,0-3.9 的则是低级漏洞。
什么是 SCAP
SCAP 「Security Content Automation Protocol」 是一个集合了多种安全标准的框架,它共有六个子元素:CVE,OVAL,CCE,CPE,CVSS,XCCDF。其目的是以标准的方法展示和操作安全数据,SCAP 由 NIST 负责维护。
SCAP 是当前美国比较成熟的一套信息安全评估标准体系,其标准化,自动化的思想对信息安全行业产生了深远的影响。SCAP主要解决三个问题:
1.实现高层政策法规等到底层实施的落地。
2.将信息安全所涉及的各个要素标准化。
3.将复杂的系统配置核查工作自动化。
白宫与 OpenSSF 和 Linux 基金会一起保护开源软件
2022年5月中旬消息,在近日举办的美国白宫开源软件安全峰会上,Linux 基金会和开源软件安全基金会 (OpenSSF) 与来自 37 家公司的 90 多名高管、以及美国政府相关领导人共同讨论了开源安全举措。此次会议距离拜登政府发布改善软件供应链安全的行政命令刚好一周年的时间。
Linux 基金会和 OpenSSF 在会议上呼吁,在两年内提供 1.5 亿美元的资金来解决十个主要的开源安全问题。包括:
安全教育:向所有人提供基线安全软件开发教育和认证。
风险评估:为前 10,000 个(或更多)OSS 组件建立一个公开的、供应商中立的、基于客观指标的风险评估仪表板。
数字签名:加速在软件版本中采用数字签名。
内存安全:通过替换非内存安全语言来消除许多漏洞的根本原因。
事件响应:建立 OpenSSF 开源安全事件响应团队,安全专家可以在响应漏洞的关键时刻介入协助开源项目。
更好的扫描:通过高级安全工具和专家指导,加速维护人员和专家对新漏洞的发现。
代码审计:每年对多达 200 个最关键的 OSS 组件进行一次第三方代码审查(以及任何必要的修复工作)。
数据共享:协调全行业的数据共享,以改进有助于确定最关键 OSS 组件的研究。
软件物料清单 (SBOM) 无处不在:改进 SBOM 工具和培训以推动采用。
改进的供应链:使用更好的供应链安全工具和最佳实践来增强 10 个最关键的开源软件构建系统、包管理器和分销系统。
不过,美国政府并不会为此提供一分费用。OpenSSF 总经理 Brian Behlendorf 在白宫新闻会上表示:"我想说清楚:我们在这里不是为了向政府筹款。我们没有预料到需要直接去找政府来获得资金,任何人都可以成功"。
据悉,亚马逊、爱立信、谷歌、英特尔、微软和 VMWare 已经承诺提供 3000 万美元;Amazon Web Services (AWS) 也宣布增加对 OpenSSF 的投资,承诺在未来三年内追加 1000 万美元。另一方面,谷歌在此次会议上宣布成立“Open Source Maintenance Crew(开源维护小组)”。 这是一个由开发人员组成的团队,他们将致力于确保上游开源项目的安全,从收紧配置到部署更新。
OpenSSF 的成员来自核心基础设施联盟(Core Infrastructure Initiative)、GitHub 开源安全联盟和和其他创始董事会成员,例如 GitHub、Google、IBM、摩根大通、微软、NCC 集团、OWASP 基金会 和 Red Hat。其他创始成员还包括 ElevenPaths, GitLab, HackerOne, Intel, Okta, Purdue, SAFECode, StackHawk, Trail of Bits, Uber 和 VMware。
按照 OpenSSF 官网的介绍,基金会的治理、技术社区及其决策将是透明的,开发的任何规范和项目都将与供应商无关。OpenSSF 致力于与上游社区以及与现有社区的协作和合作,以提升开源安全性。也就是说他们旨在成为一个透明的组织,借此促进厂商之间的合作并提升安全性。
组织的正式成立包括设立一个理事会(Governing Board),一个技术咨询委员会(Technical Advisory Council),并对每个工作组和项目进行单独的监督。OpenSSF 打算举办多项开源技术计划,以支持世界上最关键的开源软件的安全性,所有这些都将在 GitHub 上公开进行。最初的 OpenSSF 技术咨询委员会得到了来自 GitHub、谷歌、摩根大通、IBM、红帽、微软和 NCC 集团等利益相关者的支持。他们将致力于增强安全工具性能和安全最佳实践、提升识别威胁能力、确保关键项目安全、改进开发者身份验证机制以及类似的举措。
更多详情访问 OpenSSF.org 。
信息安全中常用术语介绍
在一些重大的安全事件发生后,经常会在相关新闻或是文档中看到一些相关的安全术语,比如:VUL、CVE、Exp、PoC 等。本文就来对这些常用术语的具体含义和用途做一个基本的讲解,以便于以后不会在傻傻分不清这些术语的含义。
什么是 VUL
VUL,Vulnerability 的缩写,泛指漏洞。
什么是 0day 漏洞 和 0day 攻击
0day 漏洞,又称零日漏洞 「zero-day」。是已经被发现 (有可能未被公开),而官方还没有相关补丁的漏洞。通俗地讲就是除了漏洞发现者,没有其他的人知道这个漏洞的存在,并且可以有效地加以利用,发起的攻击往往具有很大的突发性与破坏性。
零日攻击或零时差攻击「zero-dayattack」则是指利用这种漏洞进行的攻击,提供该漏洞细节或者利用程序的人通常是该漏洞的发现者。零日漏洞的利用程序对网络安全具有巨大威胁,因此零日漏洞不但是黑客的最爱,掌握多少零日漏洞也成为评价黑客技术水平的一个重要参数。
什么是 CVE
CVE 的英文全称是 「Common Vulnerabilities & Exposures」 公共漏洞和暴露,例如 CVE-2015-0057、CVE-1999-0001 等等。CVE 就好像是一个字典表,为广泛认同的信息安全漏洞或者已经暴露出来的弱点给出一个公共的名称。这在Linux的修补程序公告中出现得比较多的一种。如果在一个漏洞报告中指明的一个漏洞,有 CVE 名称的话你就可以快速地在任何其它 CVE 兼容的数据库中找到相应修补的信息,解决安全问题。
什么是 PoC
PoC「Proof of Concept」, 中文译作概念验证。在安全界,你可以理解成为漏洞验证程序。和一些应用程序相比,PoC 是一段不完整的程序,仅仅是为了证明提出者的观点的一段代码。这个术语会在漏洞报告中使用,漏洞报告中的 PoC 则是一段说明或者一个攻击的样例,使得读者能够确认这个漏洞是真实存在的。
什么是 Exp
Exp 「Exploit」,中文译作漏洞利用程序。简单讲就是一段可以发挥漏洞价值的程序,比如:目标存在一个 SQL 注入漏洞,然后被你知道了,然后你编写了一个程序,通过这个 SQL 注入漏洞,拿到了目标的权限,那么这个程序就是所谓的 Exp 了。当然,如果你没有使用这个漏洞,它就这么放着,那么这个漏洞,对你来说可以认为是没有价值的。
关于 PoC/Exp 的几个误区
1.写 PoC 要会 Python
PoC 的存在,只有一个目的:证明漏洞存在。而关于 PoC 的形式,或者说代码实现方式,你想用什么方式,就用什么方式。推荐 Python, 只是说安全界用 Python 的人居多,你写的东西能被更多人看懂,还有 Python 这门语言的灵活,类库强大等特性,给编写的人提供了很大便利。
2.PoC 就是 Exp
严格来讲,PoC 和 Exp 是两个东西。PoC 就是用来证明漏洞存在的,而 Exp 是用来利用这个漏洞的。在很多情况下我们知道了漏洞存在,却不知道具体怎么利用,编写一个 PoC 非常简单,而编写一个 Exp 是相当有挑战性的。
PoC 和 Exp 的区别就有点像你发现了家门口的超市的锁有问题,你给人家证明锁有问题和通过锁有问题这个现象偷到超市的钱这是两码事。
什么是漏洞靶场
漏洞靶场 「Vulnerability Firing Range」 就是一个已经复现了漏洞让你测试漏洞用的环境,一般用虚拟机或者 Docker 来实现的。如果想快速构建一个测试用的漏洞靶场,可使用 Vulhub 项目快速部署漏洞测试靶场。Vulhub 是一个基于 docker 和 docker-compose 的漏洞环境集合,让漏洞复现变得更加简单,让安全研究者更加专注于漏洞原理本身。
什么是 CVSS
CVSS 全称是 「Common Vulnerability Scoring System」即通用漏洞评分系统。CVSS 是一个行业公开标准,其被设计用来评测漏洞的严重程度,并帮助确定所需反应的紧急度和重要度。
CVSS 是安全内容自动化协议「SCAP」的一部分,通常 CVSS 同 CVE 一同由美国国家漏洞标准库「National Vulnerabiliy Database」发布,由美国国家基础建设咨询委员会「NIAC」委托制作,是一套公开的评测标准,经常被用来评测企业资讯科技系统的安全性,并受到 eBay、Symantec、Cisco、Oracle 等众多厂商支援。
CVSS 的目标是为所有软件安全漏洞提供一个严重程度的评级,这就意味着 CVSS 旨在为一个已知的安全漏洞的严重程度提供一个数值(分数)。而不管这个安全漏洞影响的软件类型是什么,不管它是操作系统、杀毒软件、数据库、邮件服务器、桌面还是商务应用程序。
由于这个评分范围非常广,这个评分系统把能够完全攻破操作系统层的已知安全漏洞评为基准分数 10.0 分。换句话说,CVSS 基准分数为 10.0 分的安全漏洞一般指能够完全攻破系统的安全漏洞。典型的结果是攻击者完全控制一个系统,包括操作系统层的管理或者 Root 权限。例如:国家安全漏洞数据库中一个第三方产品中的这种安全漏洞被解释为:攻击者能够安装程序、观看、修改或者删除数据,或者创建拥有用户全部权利的新账户。
CVSS 的主要目的是帮助人们建立衡量漏洞严重程度的标准,使得人们可以比较漏洞的严重程度,从而确定处理它们的优先级。CVSS 得分基于一系列维度上的测量结果,这些测量维度被称为量度「Metrics」。漏洞的最终得分最大为 10,最小为 0。得分 7-10 的漏洞通常被认为比较严重,得分在 4-6.9 之间的是中级漏洞,0-3.9 的则是低级漏洞。
什么是 SCAP
SCAP 「Security Content Automation Protocol」 是一个集合了多种安全标准的框架,它共有六个子元素:CVE,OVAL,CCE,CPE,CVSS,XCCDF。其目的是以标准的方法展示和操作安全数据,SCAP 由 NIST 负责维护。
SCAP 是当前美国比较成熟的一套信息安全评估标准体系,其标准化,自动化的思想对信息安全行业产生了深远的影响。SCAP主要解决三个问题:
1.实现高层政策法规等到底层实施的落地。
2.将信息安全所涉及的各个要素标准化。
3.将复杂的系统配置核查工作自动化。
白宫与 OpenSSF 和 Linux 基金会一起保护开源软件
2022年5月中旬消息,在近日举办的美国白宫开源软件安全峰会上,Linux 基金会和开源软件安全基金会 (OpenSSF) 与来自 37 家公司的 90 多名高管、以及美国政府相关领导人共同讨论了开源安全举措。此次会议距离拜登政府发布改善软件供应链安全的行政命令刚好一周年的时间。
Linux 基金会和 OpenSSF 在会议上呼吁,在两年内提供 1.5 亿美元的资金来解决十个主要的开源安全问题。包括:
安全教育:向所有人提供基线安全软件开发教育和认证。
风险评估:为前 10,000 个(或更多)OSS 组件建立一个公开的、供应商中立的、基于客观指标的风险评估仪表板。
数字签名:加速在软件版本中采用数字签名。
内存安全:通过替换非内存安全语言来消除许多漏洞的根本原因。
事件响应:建立 OpenSSF 开源安全事件响应团队,安全专家可以在响应漏洞的关键时刻介入协助开源项目。
更好的扫描:通过高级安全工具和专家指导,加速维护人员和专家对新漏洞的发现。
代码审计:每年对多达 200 个最关键的 OSS 组件进行一次第三方代码审查(以及任何必要的修复工作)。
数据共享:协调全行业的数据共享,以改进有助于确定最关键 OSS 组件的研究。
软件物料清单 (SBOM) 无处不在:改进 SBOM 工具和培训以推动采用。
改进的供应链:使用更好的供应链安全工具和最佳实践来增强 10 个最关键的开源软件构建系统、包管理器和分销系统。
不过,美国政府并不会为此提供一分费用。OpenSSF 总经理 Brian Behlendorf 在白宫新闻会上表示:"我想说清楚:我们在这里不是为了向政府筹款。我们没有预料到需要直接去找政府来获得资金,任何人都可以成功"。
据悉,亚马逊、爱立信、谷歌、英特尔、微软和 VMWare 已经承诺提供 3000 万美元;Amazon Web Services (AWS) 也宣布增加对 OpenSSF 的投资,承诺在未来三年内追加 1000 万美元。另一方面,谷歌在此次会议上宣布成立“Open Source Maintenance Crew(开源维护小组)”。 这是一个由开发人员组成的团队,他们将致力于确保上游开源项目的安全,从收紧配置到部署更新。