我的位置 态势感知  >  漏洞态势

​白宫关于开源软件安全的高层会议前,Apache软件基金会 (ASF)公开呼吁上下游供应商协同解决开源软件供应链安全问题

来源:网空闲话 时间:2022-01-11 阅读次数:
Apache软件基金会 (ASF) 呼吁营利性公司不能只做利用开源代码的”吸血蚂蟥“,ASF认为仅通过上游生产者来解决开源供应链问题是完全不足够的,警告说“只有一小部分”下游供应商正在为保护开源生态系统做出贡献。ASF在白宫关于开源软件安全的高层会议之前发表的一份立场文件中表示,社区是由那些出现并完成工作的人定义的。在其产品中构建开源的公司很少参与他们的持续维护。任何未来的指令都必须“避免给少数维护者带来额外的无资金负担。ASF的声明是在Apache Log4j漏洞事件持续发酵之际发表的,CVE-2021-44228这个最具代表性的基于Java的日志记录实用程序中的远程代码执行漏洞导致了全球事件响应危机。ASF在这个立场文件中表达了其处理开源项目安全问题的实践,同时也给出了四点建议。最后还附上了有关Log4shell漏洞的最新动态以及ASF目前维护的项目数量信息。公开发布的立场文件与给白宫的文件保持了一致。

 ASF解决项目安全问题的实践

每个ASF项目都由项目管理委员会 (PMC) 管理,该委员会由通过该项目工作而获得功绩的个人组成。
  • PMC成员共同管理他们自己的社区关于技术开发和发布的决策。

  • 项目遵守各种基金会范围的政策,包括商标、发布和处理报告的安全漏洞。

  • ASF政策要求 PMC 审查,新版本所需的最低投票水平。

  • 对项目源代码的更改被跟踪并且对所有相关方可见。

ASF有一个安全团队和一名安全副总裁,他们在董事会授权下行事。
  • ASF安全团队制定通用策略,维护PMC的安全联系,并为响应安全问题的项目提供支持。
  • 我们以一致且机器可读的方式发布有关我们所有项目中所有漏洞的元数据。
当面临严重漏洞时,ASF的目标是在披露之前减轻威胁。
  • 初步报告根据负责任披露规则私下处理。
  • 一旦问题公开,集中注意力通常会导致发现其他问题。
  • 我们的目标是快速发布和快速修复,即使这需要多个版本。

 ASF的建议

在处理开源软件和漏洞处理方面超过25年的经验表明了ASF在以下几个方面的立场:
1、使用开源的企业需要了解正在使用的组件,并准备好在发现漏洞时迅速采取行动。 
Log4j和HeartBleed被用作开源漏洞风险的示例,但必须记住,一旦将这些问题报告给各自的项目,它们就会得到快速有效的处理。一周内发布了纠正HeartBleed的更新将问题通知OpenSSL,并在任何漏洞利用之前通知。在通知Apache软件基金会后的两周内发布了缓解Log4J漏洞的初始更新(该版本升级并在被发现被广泛利用后的第二天发布)。这两个漏洞也是需要熟练的人类研究人员才能发现的示例,自动化工具无法检测到这些漏洞。
导致这些漏洞和其他漏洞(例如2017年的Apache Struts问题)被广泛利用的原因是企业未能及时缓解:通过更新到新版本或应用缓解措施。
虽然解决方案的一部分可能是确保公司知道他们的供应链中包含什么组件,但他们还需要有快速处理和披露其依赖项中的漏洞的流程。
开源软件的用户还需要跟踪生命周期并确保他们正在使用的项目仍在获得安全更新。
2、使用开源的企业可以做的最有价值的事情之一就是回馈。
帮助修复错误。进行安全审计并反馈结果。现金虽然受欢迎且有用,但还不够。ASF热切欢迎来自任何来源的审核和修复。为此定义了一个流程:https : //www.apache.org/security/。
ASF的一个警告是,以前有过审计经验,当这些审计产生许多误报时,它是没有成效的。请参阅Apache软件基金会关于免费和开源安全审计 (FOSSA) 的反馈. 值得注意的是,许多执行审计的自动化方法更适合检测单个组件中的错误,而不是识别由故意特征组合形成的漏洞,例如在Log4j中看到的漏洞。这些审计最好由能够准确识别实际问题、进行修复的熟练研究人员执行,从而减轻每个项目的负担。
3、开源项目应优先考虑在关键安全问题公开后迅速发布机器可读的安全元数据。 
例如,许多最终用户和工具供应商会查看MITRE CVE数据库和下游NIST NVD数据库中发布的信息。在2021年期间,MITRE为CVE命名机构(例如 ASF)提供了快速发布信息的能力,对于Log4j,CVE在cve.org上发布,其中包含完整的机器可读元数据,包括在发布后30分钟内受影响的版本。
4、ASF支持识别关键组件的概念。 
由于ASF的软件是免费的,任何人都可以下载,ASF无法知道项目的使用范围有多广。这意味着,必然地,确定一个组件是否关键只能通过自动化方式确定,这种方式总是不完整和不完美的,或者更多地手动确定,例如首先识别关键产品,然后获取哪些组件存在这些产品的嵌入。  
这个问题并不是ASF独有的,因此有行业标准和最佳实践是有意义的。ASF准备参加这些活动。
  • 如上所述,漏洞可能是多个组件组合方式的结果。
  • 系统的所有者最适合确定该系统的关键性以及各个组件对该关键性的贡献程度。
  • 严重性取决于使用情况。当组件仅对某些系统至关重要时,需要避免为使用软件组件的所有系统所有者造成负担的解决方案。
最后附上了Log4J漏洞的最新情况及ASF维护项目的数量情况。

当地时间1月10日,网络安全和基础设施安全局局长Jen Easterly向媒体表示,Log4j漏洞可能在未来被充分地用于入侵,尽管目前还未发现大规模的利用。因为在黑客使用此漏洞和发布漏洞之间可能存在延迟。例如,从发现导致2017年Equifax泄露的漏洞(该漏洞暴露了近 1.5 亿美国人的个人信息)到泄露事件的消息存在时间差。
参考资源:
1.https://cwiki.apache.org/confluence/display/COMDEV/Position+Paper
2.https://www.securityweek.com/apache-foundation-calls-out-open-source-leechers
3.https://www.cyberscoop.com/cisa-log4j-lag-easterly-goldstein-equifaqx/
 
 

原文来源:网空闲话

“投稿联系方式:孙中豪 010-82992251   sunzhonghao@cert.org.cn”

8条评论