欧美,精品,综合,亚洲,好吊妞视频免新费观看,免费观看三级吃奶,一级a片女人自慰免费看

您當前的位置是:  首頁 > 資訊 > 國內 >
 首頁 > 資訊 > 國內 >

新思科技:完整的軟件物料清單是快速響應安全事件的關鍵

--OpenSSL緩沖區(qū)溢出漏洞的反思

2022-11-07 11:09:48   作者:   來源:CTI論壇   評論:0  點擊:


  新思科技指出世界在不斷變化,安全事件也不會停止。但從各種安全事件中學會反思和改進,才能有機會跑贏攻擊者,防患未然。近日,開放源代碼的軟件庫包OpenSSL發(fā)布安全公告,其用于加密通信通道和 HTTPS 連接的開源密碼庫中存在兩個高危漏洞,編號為 CVE-2022-3602 和 CVE-2022-3786,主要影響 OpenSSL 3.0.0 及更高版本。CVE-2022-3602 是一個任意 4 字節(jié)堆棧緩沖區(qū)溢出漏洞,可能導致拒絕服務或遠程代碼執(zhí)行;CVE-2022-3786 可能會被攻擊者通過惡意電子郵件地址利用,通過緩沖區(qū)溢出觸發(fā)拒絕服務狀態(tài)。目前安全補丁已經(jīng)發(fā)布。
  此前,OpenSSL預告于11月1日發(fā)布安全補丁。這種做法的好處是讓有關團隊有機會在補丁可用之前自查,確定哪些應用程序易受攻擊。但這也是一把雙刃劍:不法分子可能在補丁發(fā)布之前趁機進行有針對性的攻擊。通常來說,只有在補丁創(chuàng)建、驗證和可用之后才會進行漏洞披露。
  新思科技高級安全策略師Jonathan Knudsen表示:"此前,OpenSSL的'心臟出血'(Heartbleed)漏洞默認暴露在任何使用易受攻擊版本的OpenSSL 的軟件上,攻擊者很容易利用它來查看存儲在服務器內存中的加密密鑰和密碼。新報告的兩個漏洞雖然高危,但是程度不同。易受攻擊的服務器需要請求客戶端證書身份驗證,這不是常態(tài)。易受攻擊的客戶端需要連接到惡意服務器,這是一種常見的攻擊媒介。如果您還不知道軟件中有哪些開源組件,請盡快考慮采用軟件組成分析(SCA)工具。一旦您知道哪些軟件包含易受攻擊的 OpenSSL 版本,您就可以制定計劃以優(yōu)先順序更新軟件。對于已經(jīng)部署了軟件供應鏈風險管理的企業(yè)來說,他們可以盡快進行更新,F(xiàn)階段安全管理還不充分的企業(yè)應該考慮開始將軟件供應鏈風險管理納入流程。"
  安全團隊應使用SCA工具對所有軟件進行分析,包括創(chuàng)建、獲取、下載或使用的所有軟件,與來源或功能無關(這包括商業(yè)和開源軟件)。如果無法訪問應用的源代碼,則應在應用及其庫上使用二進制SCA工具。測試結果將顯示使用 OpenSSL 的位置、正在使用的版本以及該版本的源點在哪里。
  新思科技網(wǎng)絡安全研究中心首席安全策略師Tim Mackey表示:"我也建議企業(yè)采用SCA工具進行主動掃描。SCA工具掃描應用的源代碼并為該應用程序創(chuàng)建軟件物料清單 (SBOM)。擁有所有軟件的最新、準確和完整的SBOM 是快速響應事件的關鍵。"
  新思科技《2022年開源安全和風險分析》報告(OSSRA)報告調研了17個行業(yè),其中計算機硬件和半導體、網(wǎng)絡安全、能源與清潔技術,以及物聯(lián)網(wǎng)這四個行業(yè)被審計的代碼庫中100%包含開源組件。其余的垂直行業(yè)的代碼庫中有93%到99%包含開源組件。而且這些被審計的代碼庫中有81%包含至少一個漏洞。
  由此可見,創(chuàng)建開源組件的SBOM的重要性。它可以幫助開發(fā)人員快速定位存在風險的組件,并合理確定修復工作的優(yōu)先級。全面的SBOM應列出應用程序中的所有開源組件以及這些組件的許可證、版本和補丁狀態(tài)。
  新思科技中國區(qū)軟件應用安全業(yè)務總監(jiān)楊國梁表示:"采用開源更容易激發(fā)技術創(chuàng)新和加速構建可信的協(xié)作模式。因此,中國正在積極系統(tǒng)地布局'十四五'開原生態(tài)發(fā)展,以為數(shù)字經(jīng)濟提供基礎'養(yǎng)分'。企業(yè)為了滿足用戶對敏捷迭代的需求,采用開源已經(jīng)成為常態(tài)。同時,軟件供應鏈安全也成了業(yè)界的重點關注。在全面部署安全治理之前,企業(yè)應該先了解使用了哪些代碼,才能有效開展軟件供應鏈安全管理,進而以滿足業(yè)務發(fā)展需求的速度開發(fā)可信軟件產(chǎn)品。"
 
【免責聲明】本文僅代表作者本人觀點,與CTI論壇無關。CTI論壇對文中陳述、觀點判斷保持中立,不對所包含內容的準確性、可靠性或完整性提供任何明示或暗示的保證。請讀者僅作參考,并請自行承擔全部責任。

專題

CTI論壇會員企業(yè)