【会议记录】2022北京网络安全大会-杨珉-软件供应链安全治理之漏洞补丁:现状及应对方案

最新推荐文章于 2024-11-12 09:50:01 发布
最新推荐文章于 2024-11-12 09:50:01 发布
阅读量1.6k 收藏
点赞数
文章标签: 安全 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yntantan/article/details/126442583
版权

嘉宾:杨珉
复旦大学计算机科学技术学院副院长
复旦大学系统软件与安全实验室主页:https://secsys.fudan.edu.cn/26976/list.htm
演讲主题:软件供应链安全治理之漏洞补丁:现状及应对方案
演讲视频链接:https://bcs.qianxin.com/speaker/detail?id=63
参考链接:公众号:复旦白泽战队的推文

主要从补丁方案和应对角度介绍杨教授他们目前的进展。

当前,大量基础软件都在受到开源代码漏洞的影响,而部署漏洞对应的安全补丁,是当前封堵漏洞、修复漏洞的主要技术手段。但现实的情况是,在软件供应链场景下漏洞的利用和攻击手段在持续变化;与之相应的,在攻防对抗的演化过程当中,也对安全补丁的开发、传播与部署各环节提出了更高的要求,这些环节直接制约了漏洞修复的成效。

p1
在这里插入图片描述
p2
在这里插入图片描述
p3
在这里插入图片描述
p4
在这里插入图片描述
p5
在这里插入图片描述
p6
杨教授指出,目前漏洞补丁的问题其实比想象的严峻。站在安全补丁生命周期的视角,目前主要存在三大现状与挑战。

  • 第一个现状是补丁传播链路长。以Linux为例,漏洞披露以后,从补丁被开发,到最终被应用与终端的手机产品上,需要经过Linux、AOSP、高通、手机厂商等4到5家不同的组织或公司,每个公司内部还会设计到数个不同的软件开发线。补丁披露以后通常会被国内外主流数据库所收录,形成基于情报链的补丁传播,补丁需要在这些公司和开发线中从上而下逐一传递。
    在这里插入图片描述
    p7
    在这样较长的补丁传播链路中,补丁的管理存在着大量安全风险。最经典的问题是,上游开源社区管理模式非常松散,很难有效推动漏洞修复和补丁开发,尤其是大量开源社区完全是依靠个人开发者的贡献,开发资源十分有限。
    比如,linux社区直到2021年2月份,linux内核才有两名专职安全人员。

在这里插入图片描述
p8
在供应商之间,补丁的部署成本高且速度过慢,他展示了安卓供应链生态的补丁传播研究成果:左图反映的是linux和高通定制版linux漏洞的传播,超过90%的CVE漏洞,从高通发布补丁到下游OEM厂商完成部署补丁,其平均耗时超过100天,即这些漏洞至少存在3个多月的可攻击时间。
在这里插入图片描述
p9
同时, 这种上下游补丁传播长链路的特点,也导致传播的时间叠加。
linux平均要15天才能传播到android社区,通常90天左右才能与高通完成补丁修复,再到下游厂商100多天。
在这里插入图片描述
p10

  • 第二个现状是漏洞多分支补丁部署混乱。存在补丁在部分受影响版本上未被部署和补丁在不同分支上部署时间存在延迟的问题,这就导致这些未被修复的版本和延迟修复的版本存在被攻击的安全风险。研究发现,约80%以上受影响的软件分支版本都没有部署补丁,而且这种现象在典型开源软件中广泛存在。
    在这里插入图片描述
    p11
    在这里插入图片描述
    p12
    在这里插入图片描述
    p13
  • 第三个现状是补丁信息披露不完整。存在部分安全漏洞未披露至漏洞平台和已披露漏洞的补丁信息不完整的情况。
    • 一方面,部分安全漏洞并没有披露给漏洞平台,而是由软件供应厂商内部秘密地进行修复,甚至他们会有意地组织向漏洞平台报告漏洞,导致其他厂商无法及时地知晓并且修复漏洞。
    • 另一方面,对于部分已披露的漏洞,由于漏洞披露方式的不规范,其披露的信息中并不包含补丁信息,那么其他厂商依旧无法及时地对漏洞进行修复。
      在这里插入图片描述
      p14
      漏洞库补丁披露方式有两种,一种是附在参考链接中,另外一种是提供了标识补丁或者补丁标签内容。
      但这里经常会出错,例如黄色方框框起来的地方,这里把他标注为issue但事实上这个链接代表补丁,下一行这里标注为patch是一个补丁,但事实上你去看它实际上它只是一个issue不是一个补丁。这是NVD当中一个错误。
      在这里插入图片描述
      p15
      由于对这个很好奇,杨教授团队针对6000多个漏洞补丁披露信息进行了评估,根据它的链接根据它的标签得到的结论是:
      在NVD当中大约有40%的CVE没有提供相应的补丁信息,而且提供部分补丁信息还是错误的,尤其是作为patch标签标识这一类,这3000多个patch数量大概也就勉强超过50%,针对实用数据集低于50%。
      在这里插入图片描述
      p16
      针对以上现状,杨教授团队针对补丁信息挖掘技术和漏洞补丁管理技术展开了研究。
      在这里插入图片描述
      p17
      补丁信息挖掘领域的研究

在这里插入图片描述
p18

在这里插入图片描述
p19
说明静默修复漏洞这种情况还是非常普遍的。
在这里插入图片描述
p20
主要思路是从公开的漏洞数据库中获取漏洞的描述信息,同步在代码仓库中研究如何定位漏洞所对应安全补丁。
论文:2021CCS Locating the Security Patches for Disclosed OSS Vulnerabilities with Vulnerability-Commit Correlation Ranking
在这里插入图片描述
p21
增强指的是两个漏洞平台采纳我们的建议,对于补丁信息进行了完善。
在这里插入图片描述
p22
在这里插入图片描述
p23
在这里插入图片描述
p24
排除与漏洞根因无关的修改,例如功能命名控件和格式修改等等。
在这里插入图片描述
p25
在这里插入图片描述
p26
在这里插入图片描述
p27
在这里插入图片描述

p28
在这里插入图片描述
p29

在这里插入图片描述

YnHceline
关注
网络安全工作会议纪要.docx
10-02
网络安全工作会议纪要.docx
解决方案-网络安全会议纪要-入门攻防笔记
2401_84915584的博客
07-20 367
12月6日,学校网络安全和信息化领导小组在松江校区召开2021年第二次工作会议,校长俞建勇,党委副书记刘淑慧,副校长邱高,党委常委、宣传部部长任晓杰出席会议。
银行计算机安全工作会议记录,商丘市一高召开2020年度网络安全信息化专题会议...
weixin_33987275的博客
07-20 720
原标题:商丘市一高召开2020年度网络安全信息化专题会议为进一步强化我校网络安全保障体系建设,维护网络空间安全。10月28日上午,商丘市一高在党员活动室召开2020年度网络安全信息化专题会议,传达《商丘市第一高级中学关于网络安全信息化工作任务分工和职责的通知》,并就下一步网络安全工作进行安排部署。会议由电教中心主任韩卫杰主持。 党委副书记赵永森对我校网络安全工作提出要求 电教中心主任韩卫杰主持会...
2015网络安全大会-上
KD的疯狂实验室
07-02 1790
今年的中国网络安全大会主题和去年的主题相同依旧是“全球化的网络安全” 7月1日在国家会议中心召开.有数十多家厂商参会并展示产品.......我有幸作为15PB反病毒团队成员参加了本届会议.下面是我对会议内容简要记录的整理.希望能为
网络信息安全会议纪要范文.docx
07-14
网络信息安全会议纪要范文全文共4页,当前为第1页。网络信息安全会议纪要范文全文共4页,当前为第1页。网络信息安全会议纪要范文 网络信息安全会议纪要范文全文共4页,当前为第1页。 网络信息安全会议纪要范文全文共4页,当前为第1页。 随着全球信息化步伐的加快,信息安全成为企业保持健康可持续性发展的基本保证,信息安全建设成为企业的首要任务。下文是网络信息安全会议纪要,欢迎阅读!网络信息安全会议纪要一 时间:6月3日14:30 地点;市局七楼会议室 学校网站具有标志性。 最重要,最危险。 加强网站、论坛管理,实行实名制。 加强内容审查、24小时值班。 成立网络安全小组、监看小组。 严禁链接与利用国外网站。 加强短信平台管理。 加强上网行为管理,日志保留2个月。 制订网络事故应急方案。 节假日、敏感时期加强值班。 建立安全信息上报制度,保留事故现场。 无人看守的网站要关闭。 防范黑客与病毒的攻击。网络信息安全会议纪要范文全文共4页,当前为第2页。网络信息安全会议纪要范文全文共4页,当前为第2页。 不良信息要过滤。 服务器操作系统补丁要修复。 安装反病毒软件、防火墙。 服务器端口不要多开。 论坛、
学术交流 | InForSec 2023年网络空间安全国际学术研究成果分享及青年学者论坛
aK031999的博客
03-17 2490
隐私计算研习社 InForSec定于2023年4月8日~9日(周六、日)在南方科技大学举办“InForSec 2023年网络空间安全国际学术研究成果分享及青年学者论坛”。本次学术活动将邀请在网络空间安全顶级会议上发表论文的研究者分享他们的最新研究成果,并就研究过程中的灵感、经验和体会进行深入交流。此次邀请的议题覆盖网安研究领域的诸多前沿问题,包括“软件和系统安全”“体系结构安全”“移动安全”“网络安全”“AI安全”等。主题:InForSec 2023年网络空间安全国际学术研究成果分享及青年学者论坛时间:20
边信道攻击,从米特尼克传奇重现说起.pdf
09-18
2015年底,清华段海新老师、复旦杨珉老师等网络安全研究和技术圈的研究人员发起了网络安全研究国际学术论坛(InForSec),旨在通过组织活动促进学术与工业的合作,这被视为网络安全发展史上的一个里程碑事件。...
复旦教授报告400多个安卓漏洞,历时16个月谷歌终于修复,此前曾立flag
热门推荐
super111t的博客
12-31 2万+
谷歌修复漏洞的速度是不是太慢了?
"CCCF-2018-10:面向隐私保护计算的密码新技术研究
本文的主编是李国杰和钱德沛,他们是CCF名誉理事长、CCF会士、中国工程院院士和北京航空航天大学的教授。其他编委包括袁晓如、陈熙霖、李向阳、廖小飞、王蕴红、杨珉、郑宇、彭思龙、包云岗、郭得科、徐恪和王涛等...
谷歌Linux基金会等联合推出开源软件签名服务 sigstore,提振软件供应链安全
smellycat000的专栏
03-10 512
聚焦源代码安全,网罗国内外最新资讯!编译:奇安信代码卫士团队今天,谷歌发布博客文章,宣布和Linux 基金会、Red Hat以及普渡大学共同推出 sigstore 项目。该项目通过改进软...
浅谈漏洞修复的方法论
weixin_47208161的博客
06-28 2469
序言大人,时代变了面临的场景不同技术的不同应该怎么做战略组织技术策略未来的发展是否是创业的方向序言近日在看到安全牛发布的《漏洞管理的八大趋势》,其中提到了“大量数据和案例表明,虽然漏洞评...
计算机博士两篇一区两篇会议,复旦大学两篇论文被计算机与通信安全会议录用...
weixin_39808877的博客
07-30 236
近日,复旦大学软件学院青年教师杨珉关于安卓平台软件安全性分析和检测技术研究的两篇论文,同时被计算机与通信安全会议(ACM CCS)录用,为中国内地高校罕见。由杨珉博士带领的“系统软件安全”研究小组2007年成立,长期专注于系统安全领域的研究工作。2012年对国内7家大型安卓应用商城进行应用程序安全检测,据统计,330款最热门下载有58%的用户隐私泄露行为。课题组围绕操作系统安全防护和软件分析与测...
2022 CCF中国软件大会(CCF Chinasoft)“基础软件质量保障”论坛成功召开
pengxin_ce的博客
11-28 518
2022年11月27日,2022 CCF中国软件大会(CCF Chinasoft 2022)“基础软件质量保障”论坛成功举办。本次大会由中国计算机学会(CCF)主办,CCF软件工程专委会、系统软件专委会、形式化方法专委会和复旦大学承办, 论坛由西安电子科技大学田聪教授、电子科技大学陈厅教授、清华大学姜宇副教授组织,采用腾讯会议与在线直播两种方式线上进行。 论坛针对基础软件安全性,...
漏洞补丁修复
Q_TONG的专栏
12-25 2690
RHSA-2017:0574: gnutls security, bug fix, and enhancement update (Moderate) 标题: GnuTLS栈缓冲区溢出漏洞 CVSS分值: 7.5 CVSS: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 披露时间: 2017-03-
聊聊漏洞自动修复技术的行业现状
漏洞战争
12-27 978
好久没写公众号了,收集整理了当前学术界与工业界的一些漏洞自动修复技术,对此作个简单分类与记录,谈谈原理,也聊聊个人看法。1、基于依赖组件版本的修复方法现在有很多包管理器,比如npm、ma...
关于Flutter空安全升级方案整理
清风洒脱
11-08 1035
Flutter 从 2.0 版本开始支持空安全(Null Safety)。升级到空安全后,由于语法的变动,基本上整个工程,代码都爆红,这对项目来说简直是灾难性的打击,不升级的话只是缓兵之计,因为随着时间的推移,flutter将不再维护非空安全的版本,同时一些三方库也将无法使用,因此空安全升级变成了一个不得不做的事情,项目越复杂需要的时间也就越持久,考虑到对项目的稳定性,和开发周期。选择一个合适自己项目的迁移方案非常重要。下面自己会讲下自己对空安全迁移的理解和实施方案,目前成功迁移几个项目,还是比较有经验的。
【网络】深入理解 HTTPS:确保数据传输安全的核心协议
人生苦短,睡觉要紧,睡醒再说
11-06 1811
HTTPS(HyperText Transfer Protocol Secure)是 HTTP 协议的安全版本。HTTP 是用于客户端与服务器之间传输网页数据的协议,而 HTTPS 在 HTTP 协议的基础上添加了一层SSL/TLS加密协议,使得传输的数据在网络中不易被窃取或篡改。HTTPS 通常用于传输敏感信息,如登录凭证、支付信息、个人数据等。与 HTTP 协议不同,HTTPS 在数据传输过程中会对信息进行加密,确保数据在传输过程中不被第三方监听或修改。
网络安全 | 甲方建设】构建安全的密码重置功能
最新发布
等风来
11-12 154
任何需要登录的网站,都需为用户提供“找回密码”功能,以便在用户忘记密码时可以重新获得访问权限。但要做到安全可靠、避免漏洞并非易事。本文从“默认安全”的角度出发,探讨如何设计安全的找回密码功能,但在实际业务中,需兼顾用户体验。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值