演講嘉賓 | 楊牧天

回顧整理 | 廖 濤

排版校對 | 李萍萍

嘉賓簡介

楊牧天，北京中科微瀾科技有限公司CEO，開放原子開源基金會開源安全委員會、安全平臺工作組組長，開放原子開源基金會OpenX開源研究項目開源漏洞治理、開源軟件知識圖譜等多個專題組專家。曾參與國家重點研發、自然科學基金等多個國家及省部級重大項目，擔任多個安全項目負責人，在開源操作系統安全方向具有豐富研究和實踐經驗。擁有多項發明專利及軟著，相關研究成果在包括NDSS、IJCAI、ICSE、FSE等國際頂級會議及期刊發表。

內容來源

第一屆開放原子開源基金會OpenHarmony技術峰會——安全及機密計算分論壇

視頻回顧

打開 嗶哩嗶哩APP 搜索 OpenHarmony-TSC 視頻更清晰

正 文 內 容

在過去幾年中, 開源代碼組件和開源代碼社區大量增長，開源漏洞數量也隨之激增，帶來了嚴重的安全風險。如何提前感知開源漏洞并及時處置是軟件安全領域的重要課題之一，北京中科微瀾科技有限公司CEO楊牧天在第一屆OpenHarmony技術峰會上分享了當前工業界相關技術發展和實踐。

01?

微瀾簡介

北京中科微瀾科技有限公司是中國科學院軟件研究所科技成果轉化企業，獲批中關村高新技術企業、國家高新技術企業、國家信息安全標準委員會認證以及北京市專精特新企業等，主要致力于以漏洞情報知識化為核心，打造人機協同的新型安全基礎設施。目前，微瀾支持200多種漏洞數據源，包括官方漏洞源、第三方情報源、CNA組織源、廠商及上游SA數據源等，以獲取更為準確的影響范圍以及修復版本，為企業提供更精準的漏洞概況。

02?

開源漏洞核心問題

對于開源操作系統來說，安全漏洞是核心問題之一。目前，開源社區在安全漏洞的發現與處置上仍存在以下不足：

漏洞情報較為分散：不同維度的漏洞情報分散在大量不同數據源，需要人工閱讀、分析、理解，尋找關鍵知識并提取知識間的聯系，需要較高的經驗和時間成本。并非每個開源貢獻者都是安全專家，開源社區需要漏洞情報的自動化知識提取、關聯與分析技術，以降低人工參與環節；

漏洞感知時效性較低：在漏洞公開披露前，更早獲取漏洞情報能夠幫助開源社區盡早開展漏洞處置工作。社區需要具備高時效性的漏洞感知能力，在漏洞情報出現早期進行跟蹤并識別對自身影響；

漏洞處置速度較慢：安全漏洞管理流程主要包含了漏洞接收、漏洞威脅評估、漏洞修復驗證、私有披露與公開披露。其中漏洞評估需要漏洞細節、驗證程序等關鍵知識，漏洞修復可能需要等待上游補丁。開源社區只能通過建立合理高效的組織和流程，及時提供關鍵知識以加快漏洞處置速度。

03?

openBrain漏洞感知系統

基于上述開源漏洞發現與處置的現實痛點，開發openBrain漏洞感知系統，通過在全球范圍進行實時的漏洞情報獲取、匯總與分析，為開源社區提供相關漏洞情報與關鍵知識，能夠大大提升社區漏洞管理效率并降低人員與經驗成本。此外，系統具備自動化漏洞感知，人機協同漏洞響應能力，能夠從大量的實時漏洞情報中感知與開源社區相關的關鍵信息，提升社區漏洞響應效率。結合標準漏洞管理與披露流程，實現人機協同新模式。

開發與實現openBrain漏洞感知系統存在以下挑戰：

挑戰1：漏洞情報源錯誤。漏洞情報源存在漏洞數據錯誤或不全的情況，很大程度影響可信度，進而影響漏洞識別、驗證、修復等工作；

挑戰2：漏洞情報分散。漏洞情報通常分散在不同數據源，對漏洞構建全面的知識需要從多類數據源進行數據匯總；

挑戰3：開源軟件命名規則不統一。在不同漏洞情報源中，開源軟件命名規則不統一，導致漏洞情報難以及時響應；

挑戰4：同源開源軟件代碼差異。同源代碼修改可能剪除或引入漏洞；

挑戰5：大規模軟件供應鏈分析。在大規模開源項目中，通過對代碼切片比對等傳統手段效率不足，準確性與全面性難以兼顧，難以滿足時效性要求；

挑戰6：漏洞情報質量與時效性權衡問題。早期出現的漏洞情報通常內容較少，不夠準確。開源軟件作為基礎設施的核心要素，需要更早的漏洞情報并盡快進行響應，然而不準確的漏洞情報則會給社區帶來額外負擔。

針對挑戰1和2，openBrain漏洞感知系統采取了漏洞情報融合與結構化技術。通過多源漏洞情報融合，有效整合大量、多源、多維信息，從而提升情報質量與及時性。同時，優質和及時的漏洞情報能夠顯著提升漏洞檢測、評估等業務效果，并為漏洞處置以及分析工作提供有力支撐。該技術的主要步驟如下：（1）構建統一的知識存儲結構；（2）對漏洞情報進行分類，提取關鍵實體，例如受影響軟件、版本、補丁、PoC、安全事件等，形成關聯關系；（3）漏洞情報錯誤校正與信息補全。

針對挑戰3、4和5，openBrain漏洞感知系統采取了自動化供應鏈分析手段。通過在知識庫中對開源軟件上下游關系、依賴關系、包含關系等進行預構建和刻畫。并基于補丁比對的漏洞檢測技術+軟件供應鏈溯源，構建開源漏洞傳播模型， 維護開源軟件映射矩陣，將不同數據源的軟件歸一化，實現快速的情報感知。

針對挑戰6，openBrain漏洞感知系統采取了漏洞情報動態評級方案。通過根據不同情報內容和漏洞判定方式，實現漏洞情報動態評級系統，在每次情報更新后更新評級，并以此判斷情報與開源項目的相關性。

此外，openBrain還提供實時漏洞情報數據匯總，并形成漏洞情報共享接口。Standard Vulnerability Schema涵蓋數百個漏洞情報源，能夠實時更新結構化漏洞情報，面向工具和業務進行情報共享。

在應用上，openBrain漏洞感知系統從建立之初至2022年10月的兩年時間中，涵蓋了超過26.5萬的漏洞數量，在開源社區中創建的漏洞issue數量達到了7千多個，整個漏洞貢獻占到全社區的95%，節省了大量的人力成本，解放了社區更多的開發和創新生產力。其中，1119個漏洞早于美國國家安全漏洞庫（NVD）向社區披露，平均的提前感知時長達到23天。

openBrain開源漏洞感知系統是依托漏洞情報自動化獲取、知識化與智能分析等技術而形成新型安全基礎設施，openBrain在開源社區的應用探索證明了其在開源項目漏洞管理過程中具有很高的價值，能夠在降低人力投入的同時極大提升開源社區安全保障能力，讓開發者更加專注于創新。

04?

未來展望

目前，微瀾正在向OpenHarmony進行能力擴展，幫助社區降低漏洞情報獲取難度，提升安全漏洞發現和處置效率，打造更安全的OpenHarmony。也希望大家關注微瀾，關注開源漏洞感知及處理相關技術的發展，共同為更多開源項目提供支撐，為開源生態安全發展提供新能力與更大價值。

E N D

點擊下方閱讀原文獲取演講PPT。

關注我們，獲取更多精彩。

審核編輯 黃宇