为什么 Google 支持的安全开源计划如此重要

最新推荐文章于 2023-10-02 10:17:13 发布
最新推荐文章于 2023-10-02 10:17:13 发布
阅读量2.1k 收藏
点赞数
分类专栏: 科技新鲜事 文章标签: 安全 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wlcs_6305/article/details/122179467
版权

在这里插入图片描述
供应链攻击暴涨,开源项目是最常见的渗透点。由 Google 赞助的 Linux 基金会帮助开源项目保护自己和其他所有人。

供应链攻击

直到最近,如果您参与网络安全并发现自己试图向某人解释供应链攻击,您可能会以 Stuxnet 攻击 为例。现在,您有任意数量的示例可供选择。

每个人都听说过 Solarwinds 和 Codecov 攻击,因为它们是头条新闻,复杂的攻击范围很广。但这两个例子只是此类攻击的沧海一粟。

供应链攻击毒害了自助餐。任何吃自助餐的人都会消耗毒药。自助餐的主人不是目标。目标是所有受邀参加宴会的人。如果攻击者可以破坏在许​​多其他应用程序和系统中使用的软件工具包或库,他们就已经设法破坏了这些其他产品的所有用户。

开源和闭源产品都面临风险。甚至在某些情况下,笔记本电脑的硬盘映像是从受感染的黄金映像克隆而来,将恶意软件直接植入硬件中。

但由于开源项目让每个人都可以访问源代码并能够为项目提交贡献,因此它们是网络犯罪分子的理想攻击媒介。随着开源组件的使用不断滚雪球,以开源为目标变得越来越有吸引力。几乎所有重要的开发项目都使用开源资产。现代世界的数字基础设施依赖于开源。

根据Sonatype 的一份报告, 开源的使用仍在加速。这对开源来说很棒。使用开源作为攻击媒介的供应链攻击随之增加。供应链攻击同比增长 650%,包括 依赖混淆、 域名抢注和代码注入。

我们前面所述,你可以在内部尝试步骤 限制你接触到供应链的攻击,使用工具,如preflight。我们还报道了正在行业层面实施的计划,例如 由谷歌、红帽和印第安纳州普渡大学联合开发的 Linux 基金会的 sigstore 计划。

在 安全的开源 项目是由Linux基金会与来自谷歌的开源安全团队100万$的赞助运行的一项新举措。

安全的开源奖励

该试点计划的重点是增强关键开源项目的安全性。关键的定义 是 美国政府的定义,该定义是为了补充行政命令 14028而起草的 。如果一个或多个软件组件具有以下任一属性,则他们的定义将软件列为关键软件:

  • 它旨在以提升的权限运行或管理权限
  • 它可以直接或特权访问网络或计算资源
  • 它旨在控制对数据或操作技术的访问
  • 它执行对信任至关重要的功能
  • 它在具有特权访问权限的正常信任边界之外运行

另一个重要因素是该问题对软件消费者的潜在影响。谁会受到影响,有多少,以及如何受到影响?如果有问题的软件被纳入其他开源项目,其影响将比独立应用程序的影响更大。一个给定的组件越受欢迎,它对供应链攻击的吸引力就越大。

这就是为什么还要考虑这些标准的原因:

  • 安全改进将影响多少和哪些类型的用户?
  • 这些改进是否会对基础设施和用户安全产生重大影响?
  • 如果项目遭到破坏,其影响将有多严重或广泛?

该项目是否包含在 最常用软件包的 哈佛 2 人口普查研究中,或者它的 OpenSSF 临界分数是否 为 0.6 或更高?
概括地说,一个软件项目可以申请资金,让他们纠正一个安全问题。审查申请并考虑诸如项目有多重要、补救或改进是什么以及谁来完成工作等主题。评估委员会成员将是 Linux 基金会和谷歌开源安全团队人员。

为了获得好评,提案应包括以下列表中的改进:

  • 供应链强化,包括符合软件工件供应链级别 (SLSA) 框架的CI/CD 管道和分发基础设施 。
  • 采用软件工件签名和验证技术,例如sigstore工具。
  • 项目改进导致更高的 OpenSSF 记分卡 结果。记分卡检测并列出开源项目的依赖项。
  • 使用 OpenSSF Allstar 强化 GitHub 存储库。
  • 通过采用行业最佳工作实践获得 CII 最佳实践徽章。

奖励根据安全改进的复杂性和优点以及成功攻击对更广泛社区的潜在影响进行分组和分配。

  • 10000 美元或更多:复杂、高影响和持久的改进,几乎可以肯定地防止受影响代码或支持基础设施中的重大漏洞
  • 5000-10000 美元:中等复杂的改进,提供引人注目的安全优势
  • 1000-5000:提交的复杂性和影响中等
  • 505 美元:小改进,但从安全角度来看还是有价值的

必须商定并遵守报告机制。这些将监控修复的进度,并验证它们是否实际发生。这不仅仅是免费的钱。

为什么这很重要

Sonatype 报告写道:“……我们预计攻击者将继续以上游软件供应链资产为目标,作为大规模利用下游受害者的首选途径。”

由于在开放和专有产品的开发中广泛使用开源,因此规模巨大。开源已经以惊人的程度渗透到我们现代世界的技术结构中。事实上,这种技术结构现在完全依赖于开源。

倡议喜欢sigstore并Allstar已设计提供帮助,整个开源运动。其他工具,例如preflight部署在消费者级别。这项新举措补充了这两种方法,并从根本上解决了问题。

如果您改进代码和开发基础设施并消除漏洞,那么可能的漏洞利用就会减少。这将减少妥协的数量。

安全开源奖不是漏洞奖励。它是关于提供资源来解决问题。解决代码中的问题、强化 CI/CD 管道和源代码存储库以及使用软件工件签名和验证方案将改变开源所处的位置。

mikes zhang
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
54亿美元!谷歌收购Mandiant,推动网络安全行业创新
clq552434的博客
09-13 1199
搜索引擎和技术巨头谷歌宣布54亿美元收购Mandiant,Mandiant是一家总部位于美国的网络安全和威胁情报提供服务。根据Mandiant和谷歌发布的联合,Mandiant将被整合到谷歌云部门。2013年12月,Mandiant被FireEye以10亿美元收购,并于2021年6月以10亿美元的价格出售给Symphony Technology Group。截至目前,Mandiant在22个国家拥有网络安全专业人员,为80个国家的客户提供服务。
谷歌Chrome沙盒技术成浏览器安全标准
buptisc_txy的专栏
01-24 767
着名的安全专家Dino Dai Zovi称,所有的浏览器开发商都应当借鉴Google Chrome的安全标准,隔离来自其他操作系统的不可信任数据。   Dino Dai Zovi,一位着名的安全专家,流行读物《黑客老兄的手册》的合着者,认为未来的安全必定会依赖于"沙盒",将应用进程同其他的应用、操作系统和用户数据库分离的实践技术。   在卡巴斯基周三的威胁发布博客上Dai Zovi将沙盒描述成和"
为什么开源大模型终将胜出?
最新发布
OneFlow深度学习框架
10-02 8504
自ChatGPT面世以来,以它为代表的闭源 AI 备受关注,简单易用的特性使其占据了行业主导。尽管以LLaMA 为代表的开源 AI 进展迅猛,但业内也流行三个反对开源的观点:开源 AI 无法与行业实验室的优势资源竞争;开源 AI 缺乏安全性;开源 AI 无法进行推理(reasoning)。本文作者 Varun Shenoy 在AI 基础设施公司Baseten 从事机器学习推理工作,他并不认同当...
开源安全的危机在于太相信 GitHub?——专访Apache之父&OpenSSF基金会总经理Brain Behlendorf
《程序员》官方BLOG
11-04 5737
本文将跟随Apache 创始人之一、OpenSSF 基金会总经理 Brain Behlendorf 的视角,直面这位开源奠基者对开源生态与安全的深度思考。
墨菲安全旗下开源组件安全检测产品murphysec
04-11
墨菲安全 是一家为您提供专业的软件供应链安全管理的科技公司,能力包括软件成分分析(SCA)、代码安全检测、开源组件许可证合规管理等,丰富的安全工具助您打造完备的软件开发安全能力(DevSecOps)。 公司核心团队...
2021年开源软件供应链安全风险研究报告.pdf
08-17
2021 年开源软件供应链...本报告对开源软件供应链安全风险进行了深入的分析和讨论,为读者提供了全面的了解和指导。同时,本报告也提出了建设性意见,旨在帮助开源使用者和关注者更好地应对开源软件供应链安全风险。
开源软件源代码安全缺陷分析报告
02-10
开源软件源代码安全缺陷分析报告
2019年开源代码安全和风险分析.pdf
06-08
2019年开源代码安全和风险分析讲解。开源组件代码安全威胁成为智能设备安全风险的又一大挑战,关注和了解安全风险。
网络安全-开源的防火墙代码
04-14
基于易语言开发的软件防火墙源码!简单易用!完全开源
Kali Linux 2021.3 发布,带有新的渗透测试工具和改进
学海无涯苦作舟的博客
09-17 7561
Kali Linux 2021.3 于昨天由 Offensive Security 发布,其中包括一组新工具、改进的虚拟化支持以及增加攻击面的新 OpenSSL 配置。 Kali Linux 是一个 Linux 发行版,专为网络安全专业人员和道德黑客设计,以执行渗透测试和安全审计。 在此版本中,Kali Linux 团队引入了以下新功能: OpenSSL - 默认情况下的广泛兼容性 新 Kali-Tools 站点 - Kali-Tools 已完全更新 实时映像会话中更好的 VM 支持 - 默认情况下从您.
PM的基石(1) - PMP (国际项目管理师)
学海无涯苦作舟的博客
08-24 4782
再谈ACP (Agile Certified Practioner)之前, 应该要先来谈谈更为普遍的PMP (Project Management Professional), 但似乎更常遇到的问题是…真的需要去考证照吗? 一直以来, 证照与实务上的落差, 其实在于职场环境, 中小企业, 甚至更多的企业是从学校实验室或研究机构出来的, 就更不用说创办人没有管理经验, 甚至连实务与量产经验都没有, 除非请一个专业经理人, 不然这时一套有完整逻辑架构, 告诉你需要考虑各种面向(成本, 风险, 时程…十大领域).
什么是CISO?成为CISO的角色,职责,职业,薪水和要求
学海无涯苦作舟的博客
04-02 4707
![在这里插入图片描述](https://img-blog.csdnimg.cn/20210402164906165.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dsY3NfNjMwNQ==,size_16,color_FFFFFF,t_70) 您是否想知道CISO是什么?他们的工作是什么?CISO的角色和责任是什么?如何成为首席信息安全官,以
[蓝屏]driver_unloaded_without_cancelling_pending_operations
学海无涯苦作舟的博客
08-25 4679
前阵子公司的驱动在win7上遇到了蓝屏,错误提示驱动在卸载时资源没有释放,底下提供几个API组合是当你的驱动有调用到这些API时,驱动卸载一定要调用相对应的释放API去清除资源。 通讯口 FltCreateCommunicationPort FltCloseCommunicationPort 处理通知程序 PsSetCreateProcesNotifyRoutineEx(_, false) PsSetCreateProcesNotifyRoutineEx(_, true) 线程通知例程 PsSet.
风险热度地图(Risk heat map)
学海无涯苦作舟的博客
08-05 4417
ISO 31000 “风险评估/分析”是什么意思? 请注意,在CISSP 考试大纲、OSG 和NIST 中,风险评估和风险分析被视为同义词,通常表示为“风险评估/分析”。 识别、分析和评估H风险意味着使用ISO 标准进行风险管理,例如ISO 31000 或ISO 27005,并且您正在进行风险评估。风险热图是表达风险评估结果的常用工具。 . 在估计影响时,可以在风险分析过程中使用资产估值,例如,单一损失预期(SLE)=资产价值(AV)x风险因子(EF)。. 成本和收益分析通常在风险处理(而不是风险评估)过.
什么是威胁建模及其最重要的优势?
学海无涯苦作舟的博客
04-25 3970
在应用程序开发中,安全性通常是事后才想到的,并且被视为开发人员的障碍。因此,将其赋予较低的优先级或将其完全忽略以确保它能够满足生产期限。但是,它可能导致生产中的严重漏洞,并给企业增加风险。 威胁建模提供了一种经济高效的方法,可以在软件开发周期的设计阶段甚至编写任何行代码之前就实现安全性。在本文中,我们将更详细地讨论威胁建模,威胁建模的过程以及威胁建模的优点。 什么是威胁建模? 威胁建模是一种系统的方法,企业可以通过该方法识别潜在的安全漏洞和安全威胁,确定每种威胁的严重性,并确定保护IT资源的技术的优先级。.
什么是供应商风险管理(VRM),为什么我们需要它们?
学海无涯苦作舟的博客
04-02 3412
第三方服务对于每个组织都至关重要。几乎所有组织都使用它们来分配工作量。但是,如果第三方未采取适当的安全措施,该怎么办?你可以信任谁?好的,这就是供应商风险管理(VRM)助您一臂之力的地方。 供应商风险管理是识别,分析,评估和减轻风险的过程,以使组织免受任何类型的数据泄露或数据泄露的影响。 随着大数据分析,云计算和物联网的出现,企业越来越多地利用第三方供应商来实施这些技术。这样,企业就可以做自己擅长的事情,而将数据管理交由第三方掌握。 尽管依靠第三方和外包数据可能会非常有益,但是存在一个问题,即第三方是否可.
BlackShadow 黑客入侵以色列托管公司并勒索客户
学海无涯苦作舟的博客
11-02 3219
BlackShadow 黑客组织攻击了以色列托管服务提供商 Cyber​​serve,以窃取客户数据库并破坏该公司的服务。 Cyber​​serve 是一家以色列网络开发公司和托管公司,被各种组织使用,包括当地广播电台、博物馆和教育机构。 一次攻击许多受害者 从周五开始,当尝试访问 Cyber​​serve 托管的网站时,访问者会遇到网站错误或由于网络安全事件而无法访问该网站的消息。在这里插入图片描述 一个名为 BlackShadow 的黑客组织声称对 Cyber​​serve 的攻击负责,并通过索要 1
为什么Linux是开源的操作系统还很安全
03-13
Linux是开源的操作系统,这意味着它的源代码是公开的,任何人都可以查看和修改它。这使得Linux的安全性得到了很大的提高,因为有很多人可以审查代码并...因此,尽管Linux是开源的,但它仍然是一个非常安全的操作系统。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

mikes zhang

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值