演講嘉賓 | 楊牧天

回顧整理 | 廖 濤

排版校對 | 宋夕明

嘉賓介紹

OS安全分論壇

楊牧天，北京中科微瀾科技有限公司CEO，中國科學(xué)院軟件研究所高級工程師，開放原子開源基金會開源安全委員會-安全平臺工作組組長。曾參與國家重點(diǎn)研發(fā)、核高基、863、自然科學(xué)基金等多個國家及省部級重大項(xiàng)目，并擔(dān)任安全應(yīng)用項(xiàng)目負(fù)責(zé)人。擁有多項(xiàng)發(fā)明專利及軟著，相關(guān)研究成果在包括NDSS、IJCAI、ICSE、FSE等國際頂級會議及期刊發(fā)表。

視頻回顧

打開嗶哩嗶哩APP，觀看更清晰視頻

正文內(nèi)容

在現(xiàn)代軟件開發(fā)中，使用三方庫可以減少重復(fù)的開發(fā)工作，提高代碼的可重用性和可維護(hù)性，保證代碼質(zhì)量。如何建設(shè)安全可靠的OpenHarmony生態(tài)軟件倉庫，提供高質(zhì)量三方庫及軟件？北京中科微瀾科技有限公司CEO楊牧天在第二屆OpenHarmony技術(shù)大會上進(jìn)行了精彩分享。

OpenHarmony Package Manager（簡稱：OHPM），是一個面向公眾開放、用于管理和共享OpenHarmony三方庫的平臺，致力于環(huán)境良好的開源生態(tài)建設(shè)，并通過開放治理尋求更加豐富的開源資源共享與交流。目前，OpenHarmony社區(qū)已經(jīng)上線了超過130個JS/ArkTS三方庫，涵蓋UI、動畫、安全、工具、文件數(shù)據(jù)、網(wǎng)絡(luò)、多媒體以及圖片緩存等類型，涉及多家共建廠商與研究機(jī)構(gòu)。

三方庫中心倉是OpenHarmony生態(tài)的軟件供應(yīng)鏈上游，存儲了OpenHarmony系統(tǒng)及應(yīng)用開發(fā)所需的“原材料”，因此其安全保障能力尤為重要。首先，三方庫中通常含有開源軟件，帶來4類主要風(fēng)險：（1）繼承性漏洞：影響廣，隱藏深，危害大。當(dāng)上游開源組件中存在漏洞時，該漏洞也會影響下游使用該組件的軟件；（2）上游源投毒：繞過防護(hù)植入惡意代碼。攻擊者通過在供應(yīng)鏈社區(qū)中發(fā)布惡意軟件包，從而實(shí)現(xiàn)攻擊活動；（3）維護(hù)性中斷：關(guān)鍵軟件斷供影響業(yè)務(wù)連續(xù)。由于開源項(xiàng)目活躍度低、維護(hù)能力不足等原因，導(dǎo)致開源軟件無法可靠供應(yīng)，進(jìn)而影響業(yè)務(wù)連續(xù)性；（4）合規(guī)性沖突：違反開源許可協(xié)議導(dǎo)致的風(fēng)險，例如出海軟件產(chǎn)品禁售等風(fēng)險。此外，OpenHarmony三方庫中心倉也面臨著隱私、合法合規(guī)、網(wǎng)絡(luò)安全、兼容性、連續(xù)性以及名稱搶注等安全挑戰(zhàn)。

基于上述風(fēng)險，北京中科微瀾科技有限公司（簡稱：中科微瀾）技術(shù)團(tuán)隊(duì)正將自主研發(fā)的全鏈路軟件供應(yīng)鏈安全方案應(yīng)用于三方庫的審核與持續(xù)風(fēng)險監(jiān)測，致力于保障開源三方庫及軟件的安全可靠。該方案包括開源軟件供應(yīng)鏈風(fēng)險情報、中心倉庫安全監(jiān)測、源碼分析等方面：

微知——開源風(fēng)險情報感知服務(wù)。微知服務(wù)提供了全面和實(shí)時的開源風(fēng)險情報獲取與分析能力，為三方庫開源軟件風(fēng)險管控提供有效支撐。

微源——開源軟件可信中心倉。微源通過對倉庫內(nèi)軟件從安全性、維護(hù)性、合規(guī)性等方面進(jìn)行持續(xù)評估，對高風(fēng)險軟件及時下架。

微析——開源軟件風(fēng)險管理平臺。微析服務(wù)實(shí)現(xiàn)對軟件開發(fā)中引入的開源軟件溯源與風(fēng)險監(jiān)測，能夠支持對三方庫軟件的源碼級評估。

在對OpenHarmony三方庫中心倉保障方案中，研究團(tuán)隊(duì)采用了多項(xiàng)關(guān)鍵技術(shù)，以實(shí)現(xiàn)實(shí)時、高效、可靠的中心倉安全審核與管理能力：

漏洞情報關(guān)聯(lián)融合技術(shù)

通過多源漏洞情報融合，有效整合大量、多源、多維信息，從而提升情報質(zhì)量與及時性。同時，優(yōu)質(zhì)和及時的漏洞情報能夠顯著提升漏洞檢測、評估等業(yè)務(wù)效果，并為漏洞處置以及分析工作提供有力支撐。

自動化供應(yīng)鏈分析技術(shù)

公開的開源軟件供應(yīng)鏈漏洞情報存在影響范圍記錄不全面、數(shù)據(jù)準(zhǔn)確率不足等問題，會極大影響相關(guān)風(fēng)險識別工作。為此，探究團(tuán)隊(duì)通過在知識庫中對開源軟件上下游關(guān)系、依賴關(guān)系、包含關(guān)系等進(jìn)行預(yù)構(gòu)建和刻畫，基于補(bǔ)丁比對的漏洞檢測技術(shù)+軟件供應(yīng)鏈溯源，構(gòu)建開源漏洞傳播模型，并維護(hù)開源軟件映射矩陣，將不同數(shù)據(jù)源的軟件歸一化，實(shí)現(xiàn)快速的情報感知。

動態(tài)處置優(yōu)先級評估技術(shù)

通過跟蹤漏洞在外網(wǎng)的討論熱度、輿情、武器化潛力、攻擊事件等多個維度，綜合評估漏洞處置優(yōu)先級，幫助社區(qū)漏洞修復(fù)小組識別漏洞外部威脅態(tài)勢，更快修復(fù)關(guān)鍵漏洞。

主體軟件識別技術(shù)

由于漏洞的影響范圍可能涉及多款軟件，但其中部分軟件可能是由于引用了那些漏洞直接影響的軟件，從而受到影響。在此，將那些漏洞直接影響的軟件稱為主體軟件，通過識別和修復(fù)漏洞影響的主體軟件能夠快速消除漏洞影響范圍。

后續(xù)，上述所提到的全鏈路開源軟件供應(yīng)鏈安全方案計(jì)劃在充分的評估和驗(yàn)證后合入到OHPM項(xiàng)目中，進(jìn)一步保障OpenHarmony生態(tài)軟件倉庫的安全可靠。

E N D

關(guān)注我們，獲取更多精彩。

審核編輯 黃宇