论文2笔记

论文2笔记

《开源软件漏洞库综述》

现状

当今的软件开发者在使用开源代码时，往往忽略了其安全性问题，现有的漏洞版本控制方案和开源代码的版本控制方案之间存在一定的差异，导致漏洞无法及时修复。
问题1：版本控制方案是什么？作用是什么?

1.在开发中，必须允许可以很容易对产品的版本进行任意回滚，版本控制工具实现这个功能的原理简单来讲，就是你每修改一次代码，它就帮你做一次快照。
2.能确保一直存储最新的代码库，所有人的代码应该和最新的代码库保持一致。

当前使用开源代码的误区：
1.开源软件不是很安全．许多攻击者通过依赖项管理器在软件生命周期中的自动解析，造成了针对软件供应链的攻击。
2.开源软件不是随便用的，需要遵守相关软件许可条款。

从公开披露到将漏洞纳入NVD（美国国家漏洞数据库）需要相当一段时间，这给使用开源软件的相关组织带来了极大的安全隐患．因此，一个专门针对开源漏洞的开放型数据库是十分必要的。

数据库应具备的特点

1.提供精确元数据
2.能进行代码检测
3.更新及时
4.漏洞报告过程不要复杂
5.能够提供漏洞引入和修复位置的精确数据

现有开源漏洞库

1.OSV(open source vulnerabiliti)
该漏洞库开放了一个API，该API接受用户通过git commit指令获得的哈希号，然后返回给用户该版本存在的漏洞列表，并给出受影响的版本号和版本
范围。
其数据集目前主要来自于OSS-Fuzz发现的漏洞。

问题2：模糊测试是什么？

模糊测试是黑盒测试技术之一，会发现最严重的的安全错误或缺陷，用于检测软件的脆弱性。
其核心思想是自动或半自动的生成随机数据输入到一个程序中，并监视程序异常，如崩溃，断言(assertion)失败，以发现可能的程序错误，比如内存泄漏。模糊测试常常用于检测软件或计算机系统的安全漏洞。
测试用例比如：
1.缓冲区溢出类测试用例：超长字符串。
2.随机数测试用例：负数，浮点数，超大数
3.格式化字符串测试用例：%d、%s等
4.特殊字符测试用例：~!@#$%等
5.unicode编码测试用例：有些程序是不支持unicode的，输入unicode可能会引发报错。

2.WSVD(hiteSource vulnerability database)
1.允许使用者通过CVE编号或项目名称检索开源漏洞。
2.允许用户通过邮件的形式提交开源漏洞，同时在收录未经CVE／NVD等数据库收录的漏洞时，会将该漏洞进行重新编号，进行单独管理．

SCA工具会生成目标应用程序中所有开源组件(包括直接和间接依赖项)的清单报告，然后根据开源组件的清单查询到关于这些开源组件的开源许可证信息，以便于开源维护者判断许可证是否与自己的应用程序相兼容

问题3：CVSS评分？

是一个行业公开标准，其被设计用来评测漏洞的严重程度，并帮助确定所需反应的紧急度和重要度。

3.SVD（Snyk vulnerability database）
通过扫描程序的方式来发现应用程序中的开源组件漏洞和许可证违规。允许用户通过开源组件的名字或CVE编号来检索漏洞。
4.VVD(Veracode vulnerability database)
可以根据开源软件包名或者CVE编号查询有关的开源漏洞信息，同时能够根据漏洞所属的编程语言类型或者操作系统来筛选可能的开源漏洞。
VVD会搜索所有的开源代码存储库，通过扫描代码、元数据、提交日志、错误修复、补丁说明和开发人员注释，使用机器学习算法来发现尚未公开的安全问题。

漏洞库应用方向

OSV：
1.者通过API来查询其正在使用的开源项目版本是否存在漏洞
2.帮助开源维护者自动化地对开源漏洞进行分类
WSVD：
特点是数据来源广泛，且多为开源漏洞，是收录开源漏洞数量较多的数据库之一．
Snyk：
特点是提供在线代码检测
VVD：
通过机器学习算法来检测开源漏洞是该漏洞库的特点之一。

漏洞分析处理比较

OSV：
二分法，可参考博客

https://juejin.cn/post/6877408623720022030

WSVD：
SCA技术
Snyk：
SCA技术和依赖项扫描程序，主动地发现开源依赖项中的漏洞和许可证违规
VVD：
通过静态应用程序安全测试工具(SAST)来分析源代码和代码的编译版本

面临的问题

1.自动化的开源漏洞检测
2.持续跟踪开源漏洞情报

问题4：什么是软件供应链攻击？

http://app.myzaker.com/news/article.php?pk=60bd8133b15ec03d0304c2ef

3.理清开源项目之间的依赖关系．