GOTC2023 openBrain開(kāi)源漏洞感知系統(tǒng)

快閃演講前言openBrain（微知）開(kāi)源漏洞感知系統(tǒng)是基于“源圖”開(kāi)源軟件供應(yīng)鏈重大基礎(chǔ)設(shè)施打造的面向開(kāi)源社區(qū)的安全漏洞情報(bào)跟蹤與分析系統(tǒng)。openBrain依據(jù)開(kāi)源社區(qū)中軟件物料清單，在全球范圍監(jiān)測(cè)相關(guān)漏洞情報(bào)，并實(shí)現(xiàn)多源多類情報(bào)匯總、處置優(yōu)先級(jí)評(píng)估、漏洞影響主體軟件識(shí)別、早期漏洞灰度檢測(cè)、疑似漏洞預(yù)警、驗(yàn)證程序及修復(fù)方案推薦等能力，提升開(kāi)源社區(qū)對(duì)開(kāi)源軟件供應(yīng)鏈漏洞情報(bào)的獲取能力和漏洞處置效率。技術(shù)概述技術(shù)進(jìn)展應(yīng)用擴(kuò)展技術(shù)概述技術(shù)進(jìn)展技術(shù)概述技術(shù)進(jìn)展應(yīng)用擴(kuò)展技術(shù)概述技術(shù)進(jìn)展漏洞情報(bào)同時(shí)也存在缺、錯(cuò)、慢的問(wèn)題，開(kāi)源社區(qū)需要更高效、低成本的漏洞情報(bào)獲取能力。現(xiàn)象和問(wèn)題漏洞情報(bào)同時(shí)也存在缺、錯(cuò)、慢的問(wèn)題，開(kāi)源社區(qū)需要更高效、低成本的漏洞情報(bào)獲取能力。安全漏洞披露數(shù)量逐年增多，開(kāi)源軟件漏洞持續(xù)增多。09眾多開(kāi)源項(xiàng)目包含復(fù)雜的開(kāi)源軟件供應(yīng)鏈關(guān)系，從海量漏洞和海量開(kāi)源組件中尋找與項(xiàng)目相關(guān)的情報(bào)成本較高?，F(xiàn)象和問(wèn)題不同維度的漏洞情報(bào)分散在大量不同數(shù)據(jù)源，需要人工閱讀、分析、理解，尋找關(guān)鍵知識(shí)并提取知識(shí)間的聯(lián)系，需要較高的經(jīng)驗(yàn)和時(shí)間成本。并非每個(gè)開(kāi)源貢獻(xiàn)者都是安全專家，開(kāi)源社區(qū)需要漏洞情報(bào)的自動(dòng)化知識(shí)提取、關(guān)聯(lián)與分析技術(shù)，以降低人工參與環(huán)節(jié)?，F(xiàn)象和問(wèn)題在漏洞公開(kāi)披露前，更早獲取漏洞情報(bào)能夠幫助開(kāi)源社區(qū)盡早開(kāi)展漏洞處置工作，極大提高漏洞處置時(shí)效。然而，零散和隱晦的信息令開(kāi)發(fā)者宛如在海量拼圖碎片中尋覓，依靠耐心拼湊漏洞全貌?，F(xiàn)象和問(wèn)題安全漏洞管理流程主要包含了漏洞接收、漏洞威脅評(píng)估、漏洞修復(fù)驗(yàn)證、私有披露與公開(kāi)披露。其中漏洞評(píng)估需要漏洞細(xì)節(jié)、驗(yàn)證程序等關(guān)鍵知識(shí)，漏洞修復(fù)可能需要等待上游補(bǔ)丁。開(kāi)源社區(qū)加快漏洞處置速度的方式包括建立合理高效的組織和流程，以及及時(shí)提供關(guān)鍵知識(shí)。漏洞獲取/接收漏洞評(píng)估漏洞修復(fù)修復(fù)驗(yàn)證測(cè)試私有披露公開(kāi)披露漏洞感知技術(shù)通過(guò)在全球范圍進(jìn)行實(shí)時(shí)的漏洞情報(bào)獲取、匯總與分析，為開(kāi)源社區(qū)實(shí)時(shí)提供相關(guān)漏洞情報(bào)與關(guān)鍵知識(shí)，從而提升社區(qū)漏洞管理效率并降低人員與經(jīng)驗(yàn)成本。數(shù)據(jù)庫(kù)集群......漏洞情報(bào)綜合分析系統(tǒng)持續(xù)漏洞評(píng)估漏洞情報(bào)綜合分析系統(tǒng)持續(xù)漏洞評(píng)估與管理漏洞數(shù)據(jù)過(guò)濾平臺(tái)配......計(jì)關(guān)鍵知識(shí)更新關(guān)鍵知識(shí)更新漏洞訂閱及預(yù)漏洞訂閱及預(yù)警服務(wù)漏洞感知技術(shù)2020年9月開(kāi)始，openBrain為國(guó)內(nèi)頂級(jí)開(kāi)源社區(qū)建設(shè)人機(jī)協(xié)同的代碼倉(cāng)庫(kù)漏洞感知體系，實(shí)現(xiàn)8000+開(kāi)源組件的漏洞自動(dòng)化識(shí)別、跟蹤和管理。全球方位自動(dòng)跟蹤漏洞情報(bào)，通過(guò)高精度比對(duì)與持續(xù)看護(hù)降低成本并提升效率漏洞感知技術(shù)多源異構(gòu)數(shù)據(jù)整合并建立關(guān)系，提供完善漏洞視角，并對(duì)數(shù)據(jù)進(jìn)行校驗(yàn)多源異構(gòu)數(shù)據(jù)整合并建立關(guān)系，提供完善漏洞視角，并對(duì)數(shù)據(jù)進(jìn)行校驗(yàn)技術(shù)概述技術(shù)進(jìn)展應(yīng)用擴(kuò)展技術(shù)概述技術(shù)進(jìn)展CVE-2022-23305CVE-2019-17571CVE-2022-23302log4j=1.2.13jasperreports=2.0.5poi=3.0.1-CVE-2021-4104CVE-2019-17571CVE-2019-12415CVE-2022-23305spring-webmvc=2.5.6CVE-2017-12626log4j=1.2.15poi=3.0.1-CVECVE-2022-23305CVE-2019-17571CVE-2022-23302log4j=1.2.13jasperreports=2.0.5poi=3.0.1-CVE-2021-4104CVE-2019-17571CVE-2019-12415CVE-2022-23305spring-webmvc=2.5.6CVE-2017-12626log4j=1.2.15poi=3.0.1-CVE-2022-23302StepStep1構(gòu)建統(tǒng)一的知識(shí)存儲(chǔ)結(jié)構(gòu)Step2對(duì)漏洞情報(bào)進(jìn)行分類，提取關(guān)鍵實(shí)體，例如受影響軟件、版本、補(bǔ)丁、PoC、安全事件等，形成關(guān)聯(lián)關(guān)系Step3漏洞情報(bào)錯(cuò)誤校正與信息補(bǔ)全通過(guò)多源漏洞情報(bào)融合，有效整合大量、多源、多維信息，從而提升情報(bào)質(zhì)量與及時(shí)性。同時(shí)，優(yōu)質(zhì)和及時(shí)的漏洞情報(bào)能夠顯著提升漏洞檢測(cè)、評(píng)估等業(yè)務(wù)效果，并為漏洞處置以及分析工作提供有力支撐。CVE-2021-4104Step1軟件供應(yīng)鏈溯源通過(guò)在知識(shí)庫(kù)中對(duì)開(kāi)源軟件上下游關(guān)系、依賴關(guān)系、包含關(guān)系等進(jìn)行預(yù)構(gòu)建和刻畫。Step2開(kāi)源漏洞傳播模型Step1軟件供應(yīng)鏈溯源通過(guò)在知識(shí)庫(kù)中對(duì)開(kāi)源軟件上下游關(guān)系、依賴關(guān)系、包含關(guān)系等進(jìn)行預(yù)構(gòu)建和刻畫。Step2開(kāi)源漏洞傳播模型基于補(bǔ)丁比對(duì)的漏洞檢測(cè)技術(shù)+軟件供應(yīng)鏈溯源，構(gòu)建開(kāi)源漏洞傳播模型。Step3開(kāi)源軟件映射矩陣維護(hù)開(kāi)源軟件映射矩陣，將不同數(shù)據(jù)源的軟件歸一化，實(shí)現(xiàn)快速的情報(bào)感知。挑戰(zhàn)1挑戰(zhàn)1開(kāi)源軟件命名規(guī)則不統(tǒng)一在不同漏洞情報(bào)源中，開(kāi)源軟件命名規(guī)則不統(tǒng)一，導(dǎo)致漏洞情報(bào)難以及時(shí)響應(yīng)。挑戰(zhàn)2同源開(kāi)源軟件代碼差異同源代碼修改可能剪除或引入漏洞。挑戰(zhàn)3大規(guī)模軟件供應(yīng)鏈分析在大規(guī)模開(kāi)源項(xiàng)目中，傳統(tǒng)手段效率不足，準(zhǔn)確性與全面性難以兼顧，難以滿足時(shí)效性要求。準(zhǔn)確全面觀點(diǎn)不一●內(nèi)容漸增準(zhǔn)確全面觀點(diǎn)不一●內(nèi)容漸增成熟漏洞情報(bào)早期漏洞情報(bào)動(dòng)態(tài)評(píng)估多維度情報(bào)融合與置信度動(dòng)態(tài)評(píng)級(jí)挑戰(zhàn)漏洞情報(bào)質(zhì)量vs時(shí)效性早期出現(xiàn)的漏洞情報(bào)通常內(nèi)容較少，不夠準(zhǔn)確。開(kāi)源軟件作為基礎(chǔ)設(shè)施的核心要素，需要更早的漏洞情報(bào)并盡快進(jìn)行響應(yīng)，然而不準(zhǔn)確的漏洞情報(bào)則會(huì)給社區(qū)帶來(lái)額外負(fù)擔(dān)。方法漏洞情報(bào)動(dòng)態(tài)評(píng)級(jí)根據(jù)不同情報(bào)內(nèi)容和漏洞判定方式，實(shí)現(xiàn)漏洞情報(bào)動(dòng)態(tài)評(píng)級(jí)系統(tǒng)，在每次情報(bào)更新后更新評(píng)級(jí)，并以此判斷情報(bào)與開(kāi)源項(xiàng)目的相關(guān)性。關(guān)鍵技術(shù)4：動(dòng)態(tài)處置優(yōu)先級(jí)評(píng)估時(shí)刻跟蹤漏洞在外網(wǎng)的討論熱度、輿情、武器化潛力、攻擊事件等多個(gè)維度，綜合評(píng)估漏洞處置優(yōu)先級(jí)，幫助社區(qū)漏洞修復(fù)小組識(shí)別漏洞外部威脅態(tài)勢(shì)，更快修復(fù)關(guān)鍵漏洞。緊急漏洞示例：CVE-2023-1478，評(píng)分9.8，WordPresspluginHummingbird路徑遍歷漏洞武器化漏洞示例：CVE-2021-22205，評(píng)分10，GitLab代碼注入漏洞“核彈級(jí)”漏洞示例：CVE-2021-44228，評(píng)分10，log4shell漏洞關(guān)鍵技術(shù)5：主體軟件識(shí)別在操作系統(tǒng)中，漏洞的影響范圍可能涉及多款軟件。但其中部分軟件可能是由于引用了那些漏洞直接影響的軟件，從而受到影響。我們將那些漏洞直接影響的軟件成為主體軟件。為此，識(shí)別和修復(fù)漏洞影響的主體軟件能夠快速消除漏洞影響范圍，提升修復(fù)效率。一次驗(yàn)證快速修復(fù)影響影響影響修復(fù)主體軟件影響影響影響直接影響開(kāi)源漏洞感知系統(tǒng)軟件成分分析（SCA）開(kāi)源漏洞管理系統(tǒng)漏洞庫(kù)與情報(bào)共享關(guān)鍵技術(shù)6：StandardVulnerabilitySchema開(kāi)源漏洞感知系統(tǒng)軟件成分分析（SCA）開(kāi)源漏洞管理系統(tǒng)漏洞庫(kù)與情報(bào)共享OpenBrain提供實(shí)時(shí)漏洞情報(bào)數(shù)據(jù)匯總，并形成漏洞情報(bào)共享接口。StandardVulnerabilitySchema涵蓋數(shù)百個(gè)漏洞情報(bào)源，實(shí)時(shí)更新結(jié)構(gòu)化漏洞情報(bào)，面向工具和業(yè)務(wù)進(jìn)行情報(bào)共享。漏洞優(yōu)先級(jí)漏洞優(yōu)先級(jí)漏洞驗(yàn)證測(cè)試漏洞驗(yàn)證測(cè)試漏洞修復(fù)漏洞修復(fù)供應(yīng)鏈風(fēng)險(xiǎn)供應(yīng)鏈風(fēng)險(xiǎn)......StandardVulnerabil26.5萬(wàn)26.5萬(wàn)創(chuàng)建漏洞ISSUENVD提前46天完成實(shí)現(xiàn)對(duì)大規(guī)模開(kāi)源組件自動(dòng)化漏洞管理，對(duì)超過(guò)8000款開(kāi)源組件多版本進(jìn)行實(shí)時(shí)漏洞情報(bào)監(jiān)測(cè)與分析，匯總包括驗(yàn)證程序、修復(fù)方案在內(nèi)的多類情報(bào)，縮短安全漏洞暴漏窗口期。下階段，openBrain將聚焦進(jìn)一步提升時(shí)效性，并降低社區(qū)漏洞處置難度，提升漏洞處置速度。4646天階段成果其中openBrain貢獻(xiàn)占比86%，總體準(zhǔn)確率96%，近59%漏洞ISSUE提交時(shí)間早于美國(guó)國(guó)家安全漏技術(shù)概述技術(shù)進(jìn)展應(yīng)用擴(kuò)展技術(shù)概述技術(shù)進(jìn)展基金會(huì)開(kāi)源漏洞感知oepkgs漏洞感知oepkgs全稱為開(kāi)放軟件包服務(wù)（OpenExternalPackagesService是一個(gè)為openEuler以及其他Linux發(fā)行版提供軟件包服務(wù)的第三方社區(qū)。openBrain能力引入oepkgs，實(shí)現(xiàn)oepkgs托管軟件包的常態(tài)化漏洞感知能力，提供漏洞感知、動(dòng)態(tài)優(yōu)先級(jí)評(píng)估、關(guān)鍵漏洞預(yù)警、關(guān)鍵知識(shí)推送等服務(wù)。VtopiaAgent運(yùn)行時(shí)供應(yīng)鏈安全將openEuler安全能力從開(kāi)源社區(qū)延伸至各類最終用戶，打通openEuler供應(yīng)鏈安全鏈路，實(shí)現(xiàn)從開(kāi)源代碼到運(yùn)行時(shí)的數(shù)據(jù)對(duì)齊與能力共享。啟動(dòng)開(kāi)源VtopiaAgent項(xiàng)目捐贈(zèng)，為openEuler生態(tài)提供運(yùn)行時(shí)漏洞監(jiān)測(cè)與修復(fù)能力。openEuleropen