OpenSSF发布4份开源软件安全指南,涉及使用、开发、漏洞报告和包管理等环节

admin 2022年10月1日11:36:59安全新闻评论10 views4274字阅读14分14秒阅读模式

OpenSSF发布4份开源软件安全指南,涉及使用、开发、漏洞报告和包管理等环节 聚焦源代码安全,网罗国内外最新资讯!


OpenSSF发布4份开源软件安全指南,涉及使用、开发、漏洞报告和包管理等环节


专栏·供应链安全

数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。


随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。近年来,针对软件供应链的安全攻击事件一直呈快速增长态势,造成的危害也越来越严重。


为此,我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯,分析供应链安全风险,提供缓解建议,为供应链安全保驾护航。


注:以往发布的部分供应链安全相关内容,请见文末“推荐阅读”部分。

OpenSSF发布4份开源软件安全指南,涉及使用、开发、漏洞报告和包管理等环节


8月底至9月上旬,OpenSSF接连发布了4项有关开源软件安全的指南,包括《评估开源软件的简明指南》、《安全研究人员与开源软件项目协同漏洞披露(CVD)指南》、《开发更安全软件的简明指南》、《NPM最佳实践指南》,给出了开源软件使用、开发、漏洞报告、包管理等方面的安全最佳实践。本文介绍了这些指南的主要核心内容。

*《NPM最佳实践指南》可参见:

https://openssf.org/resources/guides/



1、《评估开源软件的简明指南》


软件开发人员在使用开源软件依赖项或工具之前,基于安全性和可持续性的考虑,应该对其潜在的依赖关系进行评估,以确定候选,该指南即提供此方面的指导。

指南共包括9个方面:(1) 是否尽量减少依赖的数量(使用现有的依赖关系,不再增加);(2) 是否确保版本来源安全(非个人发布或攻击者控制的版本);(3) 是否有持续的维护;(4) 是否有其开发者增强安全性的证明;(5) 是否易于进行安全配置;(6) 是否有关于如何报告漏洞的说明;(7) 是否有重要用途;(8) 是否考虑了许可证的影响;(9) 对其代码的评价。

未得到维护的开源软件是一种风险。对于开源软件持续维护的评估,指南列出了近期重大活动、最后一次发布时间、维护者的数量等5方面指标。奇安信代码安全实验室于2021和2022年发布的两份《中国软件供应链安全分析报告》(具体可见文末“推荐阅读”部分)也关注到了这一领域,通过对开源生态中一年未更新版本、一年更新超100次的开源软件数量,以及关键基础开源软件的维护状况进行统计,发现开源软件维护方面的现状不容乐观。

开发者增强安全性的证明方面,指南列出了11项评估指标,包括是否具备OpenSSF最佳实践徽章、是否检查了开源软件的OpenSSF记分卡值和已知漏洞、依赖项是否是最新的、是否及时修复了bug特别是安全bug、是否使用SAFECode《软件保障评价指导原则》、对于OpenChain《安全保障参考指南》的符合性如何等。

对开源软件代码的评价方面,指南列举的指标包括开发人员使用安全的开发方法、静态分析工具发现的首要问题等6项。


2、《安全研究人员与开源软件项目协同漏洞披露(CVD)指南》


该指南是由OpenSSF的漏洞披露工作组和个人贡献者共同完成的,旨在将安全缺陷负责任地报告给软件维护人员,以评估并修复它们,同时通知下游消费者;是一组能够为漏洞发现者在CVD之前、期间和之后提供高层次选择视角的指导方针。

在披露之前,指南建议:(1) 了解项目处理漏洞的方式,即安全策略,包括电子邮件、问题跟踪器等漏洞报告途径,漏洞报告奖励和保密条款等;(2) 编写便于理解和披露的报告;(3) 提供有用的信息,包含足够的漏洞细节,如发现的问题、易受攻击的版本、发现漏洞的步骤、源码中易受攻击的行号、被利用的危害、建议的补救措施等。

披露时,指南建议:(1) 尽早声明关于漏洞披露的目标和期望,以便各方了解约定的边界;(2) 披露选择项,如下表所示,建议每一项应由安全研究人员和项目共同完成。

OpenSSF发布4份开源软件安全指南,涉及使用、开发、漏洞报告和包管理等环节


此外,指南还为解决CVD的常见挑战,如项目维护者不认为报告的是安全问题等提供了建议。


3、《开发更安全软件的简明指南》


该指南是针对所有软件开发人员在软件开发、构建和发布时的简明指南,共25条建议,主要覆盖4个方面的内容。
依赖项安全性方面,该指南建议:在选择软件作为直接依赖项之前对其进行评估(基于《评估开源软件的简明指南》),只在需要时添加,并再次检查其名称,以防止误植域名攻击;使用包管理器自动管理依赖项并支持快速更新;使用软件成分分析(SCA) 工具等持续监测软件直接和间接依赖项中的已知漏洞,快速更新易受攻击的依赖项;将依赖项更新至最新版本。
漏洞分析和报告方面,该指南建议:在CI管道中使用多种工具的组合来检测漏洞;实现自动化测试;实施第三方安全代码审查/审计;重点记录如何报告漏洞并为其做好准备(参考《安全研究人员与开源软件项目协同漏洞披露(CVD)的指南》);将项目中的漏洞通知社区。
增强完整性、透明性和维护水平方面,该指南建议:使用标准工具和签名格式为项目的重要发行版本签名;提高SLSA级别,以加强构建和分发过程的完整性从而抵御攻击;发布并使用软件物料清单(SBOM),以帮助用户验证资产、识别已知的漏洞和潜在的法律问题;有清晰的管理,并努力增加积极的、值得信赖的维护者;确保特权开发人员使用多因子身份验证。
已有评估标准和方法实施方面,该指南建议:为开源项目获得一个“OpenSSF最佳实践徽章”;提高项目的“OpenSSF记分卡”得分(如果是GitHub上的OSS);采用了CNCF《软件供应链最佳实践指南》;实施了ASVS并遵循相关内容;采用了SAFECode《安全软件开发基本实践》。


4、《NPM最佳实践指南》


根据奇安信代码安全实验室《2022中国软件供应链安全分析报告》公布的数据,截止2021年底,NPM中开源项目的数量达1892984个,占主流开源软件包生态系统开源项目总数的43.1%,NPM以绝对优势成为开源项目数量最多的开源包生态系统。
该指南旨在成为一份介绍在使用NPM的包管理器时安全供应链最佳实践的全面文档,是对官方NPM文档的补充。指南包括CI配置、依赖管理、发布和私有包4个方面的最佳实践内容,其中依赖管理是主要部分,依赖管理的核心内容如下表所示。

OpenSSF发布4份开源软件安全指南,涉及使用、开发、漏洞报告和包管理等环节


私有包方面的最佳实践针对依赖混淆攻击,该类攻击大多发生在项目依赖于内部registry的私有包时,指南建议使用作用域(Scopes)来保障NPM能够获取正确的依赖。具体而言,对于公共NPM registry,因受作用域限定的包只能由相关用户或组织发布,因此指南建议,该作用域内的包可被设为私有、作用域名可被链接到给定的registry;对于私有registry,指南建议,仅使用支持作用域的私有registry、私有包不可变、关注构建失败的情况并修复。

*本文作者:董国伟,虎符智库专家,奇安信集团代码安全实验室高级专家,博士,从事网络安全、软件安全、代码审计和漏洞分析相关工作近20年。




代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com

OpenSSF发布4份开源软件安全指南,涉及使用、开发、漏洞报告和包管理等环节







推荐阅读

在线阅读版:《2022中国软件供应链安全分析报告》全文

在线阅读版:《2021中国软件供应链安全分析报告》全文

美国政府发布联邦机构软件安全法规要求,进一步提振IT供应链安全

美国软件供应链安全行动中的科技巨头们

Apache开源项目 Xalan-J 整数截断可导致任意代码执行

谷歌推出开源软件漏洞奖励计划,提振软件供应链安全

黑客攻陷Okta发动供应链攻击,影响130多家组织机构

Linux和谷歌联合推出安全开源奖励计划,最高奖励1万美元或更多

开源web应用中存在三个XSS漏洞,可导致系统遭攻陷

开源软件 LibreOffice 修复多个与宏、密码等相关的漏洞

Juniper Networks修复200多个第三方组件漏洞

美国国土安全部:Log4j 漏洞的影响将持续十年或更久

美国国土安全部:Log4j 漏洞的影响将持续十年或更久

PyPI 仓库中的恶意Python包将被盗AWS密钥发送至不安全的站点

开源项目 Parse Server 出现严重漏洞,影响苹果 Game Center

奇安信开源软件供应链安全技术应用方案获2022数博会“新技术”奖

更好的 DevSecOps,更安全的应用

他坦白:只是为了研究才劫持流行库的,你信吗?

热门PyPI 包 “ctx” 和 PHP库 “phpass” 长时间未更新遭劫持,用于窃取AWS密钥

从美行政令看软件供应链安全标准体系的构建

研究员发现针对 GitLab CI 管道的供应链攻击

五眼联盟:管理服务提供商遭受的供应链攻击不断增多

趁机买走热门包唯一维护人员的邮件域名,我差点发动npm 软件供应链攻击

RubyGems 包管理器中存在严重的 Gems 接管漏洞

美国商务部机构建议这样生成软件供应链 “身份证”

《软件供应商手册:SBOM的生成和提供》解读

和GitHub 打官司?热门包 SheetJS出走npmjs.com转向自有CDN

不满当免费劳力,NPM 热门库 “colors” 和 “faker” 的作者设无限循环

NPM流行包再起波澜:维护人员对俄罗斯用户发特定消息,谁来保证开源可信?

NPM逻辑缺陷可用于分发恶意包,触发供应链攻击

攻击者“完全自动化”发动NPM供应链攻击

200多个恶意NPM程序包针对Azure 开发人员,发动供应链攻击

哪些NPM仓库更易遭供应链攻击?研究员给出了预测指标

NPM 修复两个严重漏洞但无法确认是否已遭在野利用,可触发开源软件供应链攻击

热门NPM库 “coa” 和“rc” 接连遭劫持,影响全球的 React 管道

速修复!热门npm 库 netmask 被曝严重的软件供应链漏洞,已存在9年

25个恶意JavaScript 库通过NPM官方包仓库分发

Pwn2Own大赛回顾:利用开源服务中的严重漏洞,攻陷西部数据My Cloud PR4100

开源网站内容管理系统Micorweber存在XSS漏洞

热门开源后端软件Parse Server中存在严重的 RCE ,CVSS评分10分

开源组件11年未更新,严重漏洞使数百万安卓按设备易遭远程监控

开源工具 PrivateBin 修复XSS 漏洞

奇安信开源组件安全治理解决方案——开源卫士



题图:Pixabay License


转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

*推荐关注*


OpenSSF发布4份开源软件安全指南,涉及使用、开发、漏洞报告和包管理等环节
OpenSSF发布4份开源软件安全指南,涉及使用、开发、漏洞报告和包管理等环节

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   OpenSSF发布4份开源软件安全指南,涉及使用、开发、漏洞报告和包管理等环节 觉得不错,就点个 “在看” 或 "” 吧~

原文始发于微信公众号(代码卫士):OpenSSF发布4份开源软件安全指南,涉及使用、开发、漏洞报告和包管理等环节

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年10月1日11:36:59
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  OpenSSF发布4份开源软件安全指南,涉及使用、开发、漏洞报告和包管理等环节 http://cn-sec.com/archives/1307910.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: