UEFI固件使用OpenSSL暴露了软件材料清单（SBOM）

Binarly REsearch团队近日深入研究了最近的OpenSSL安全更新给UEFI固件供应链生态系统带来怎样的影响以及OpenSSL版本在固件环境中是如何广泛使用的。研究结果不容乐观。

科技行业正在积极讨论使用“软件材料清单”（SBOM）来化解供应链安全风险。为了确保供应链安全实践落地，必须加强软件依赖项方面的透明度。以前，任何一款软件作为黑盒子来发布，并不提供与软件依赖项和第三方组件相关的任何信息。固件在很大程度上也是如此。

SBOM是否有助于加强专有固件软件包的透明度？答案很复杂。SBOM有助于人们更好地了解依赖项，但在许多情况下，诸厂商将SBOM信息与固件软件包或映像文件分开来分发。当SBOM不相关或可能含有误导性信息时，这就产生了与之前关于供应链问题的讨论相同的问题。现在我们的供应链与SBOM密切相关，在许多情况下，SBOM是厂商提供的信息的静态快照。

当固件不含有相应的源代码时，如果没有全面的代码分析基础设施，很难基于编译后的二进制模块来验证SBOM信息。

本月早些时候，CISA发布了一份与OpenSSL最近的高危安全问题（CVE-2022-3602和CVE-2022-3786）相关的安全公告。CVE-2022-3602和CVE-2022-3786这两个安全漏洞都与x.509证书验证失败有关，证书验证失败可能导致基于堆栈的缓冲区溢出。事实上，较旧的版本不受影响，比如OpenSSL 1.0.2和1.1.1。早期版本也不受影响，因为易受攻击的代码是在OpenSSL 3.0.0中首次引入的。

Binarly REsearch团队决定深入研究这种紧急更新给UEFI固件供应链生态系统带来了怎样的影响以及OpenSSL版本在固件环境中是如何广泛使用的。

深入核心

核心框架之一EDKII作为任何UEFI固件的一部分来使