峰会回顾第28期 | openBrain开源漏洞感知系统

演讲嘉宾 | 杨牧天

回顾整理 | 廖 涛

排版校对 | 李萍萍

嘉宾简介

杨牧天，北京中科微澜科技有限公司CEO，开放原子开源基金会开源安全委员会、安全平台工作组组长，开放原子开源基金会OpenX开源研究项目开源漏洞治理、开源软件知识图谱等多个专题组专家。曾参与国家重点研发、自然科学基金等多个国家及省部级重大项目，担任多个安全项目负责人，在开源操作系统安全方向具有丰富研究和实践经验。拥有多项发明专利及软著，相关研究成果在包括NDSS、IJCAI、ICSE、FSE等国际顶级会议及期刊发表。

内容来源

第一届开放原子开源基金会OpenHarmony技术峰会——安全及机密计算分论坛

视频回顾

打开 哔哩哔哩APP 搜索 OpenHarmony-TSC 视频更清晰

正 文 内 容

在过去几年中, 开源代码组件和开源代码社区大量增长，开源漏洞数量也随之激增，带来了严重的安全风险。如何提前感知开源漏洞并及时处置是软件安全领域的重要课题之一，北京中科微澜科技有限公司CEO杨牧天在第一届OpenHarmony技术峰会上分享了当前工业界相关技术发展和实践。

01►

微澜简介

北京中科微澜科技有限公司是中国科学院软件研究所科技成果转化企业，获批中关村高新技术企业、国家高新技术企业、国家信息安全标准委员会认证以及北京市专精特新企业等，主要致力于以漏洞情报知识化为核心，打造人机协同的新型安全基础设施。目前，微澜支持200多种漏洞数据源，包括官方漏洞源、第三方情报源、CNA组织源、厂商及上游SA数据源等，以获取更为准确的影响范围以及修复版本，为企业提供更精准的漏洞概况。

02►

开源漏洞核心问题

对于开源操作系统来说，安全漏洞是核心问题之一。目前，开源社区在安全漏洞的发现与处置上仍存在以下不足：

漏洞情报较为分散：不同维度的漏洞情报分散在大量不同数据源，需要人工阅读、分析、理解，寻找关键知识并提取知识间的联系，需要较高的经验和时间成本。并非每个开源贡献者都是安全专家，开源社区需要漏洞情报的自动化知识提取、关联与分析技术，以降低人工参与环节；

漏洞感知时效性较低：在漏洞公开披露前，更早获取漏洞情报能够帮助开源社区尽早开展漏洞处置工作。社区需要具备高时效性的漏洞感知能力，在漏洞情报出现早期进行跟踪并识别对自身影响；

漏洞处置速度较慢：安全漏洞管理流程主要包含了漏洞接收、漏洞威胁评估、漏洞修复验证、私有披露与公开披露。其中漏洞评估需要漏洞细节、验证程序等关键知识，漏洞修复可能需要等待上游补丁。开源社区只能通过建立合理高效的组织和流程，及时提供关键知识以加快漏洞处置速度。

03►

openBrain漏洞感知系统

基于上述开源漏洞发现与处置的现实痛点，开发openBrain漏洞感知系统，通过在全球范围进行实时的漏洞情报获取、汇总与分析，为开源社区提供相关漏洞情报与关键知识，能够大大提升社区漏洞管理效率并降低人员与经验成本。此外，系统具备自动化漏洞感知，人机协同漏洞响应能力，能够从大量的实时漏洞情报中感知与开源社区相关的关键信息，提升社区漏洞响应效率。结合标准漏洞管理与披露流程，实现人机协同新模式。

开发与实现openBrain漏洞感知系统存在以下挑战：

挑战1：漏洞情报源错误。漏洞情报源存在漏洞数据错误或不全的情况，很大程度影响可信度，进而影响漏洞识别、验证、修复等工作；

挑战2：漏洞情报分散。漏洞情报通常分散在不同数据源，对漏洞构建全面的知识需要从多类数据源进行数据汇总；

挑战3：开源软件命名规则不统一。在不同漏洞情报源中，开源软件命名规则不统一，导致漏洞情报难以及时响应；

挑战4：同源开源软件代码差异。同源代码修改可能剪除或引入漏洞；

挑战5：大规模软件供应链分析。在大规模开源项目中，通过对代码切片比对等传统手段效率不足，准确性与全面性难以兼顾，难以满足时效性要求；

挑战6：漏洞情报质量与时效性权衡问题。早期出现的漏洞情报通常内容较少，不够准确。开源软件作为基础设施的核心要素，需要更早的漏洞情报并尽快进行响应，然而不准确的漏洞情报则会给社区带来额外负担。

针对挑战1和2，openBrain漏洞感知系统采取了漏洞情报融合与结构化技术。通过多源漏洞情报融合，有效整合大量、多源、多维信息，从而提升情报质量与及时性。同时，优质和及时的漏洞情报能够显著提升漏洞检测、评估等业务效果，并为漏洞处置以及分析工作提供有力支撑。该技术的主要步骤如下：（1）构建统一的知识存储结构；（2）对漏洞情报进行分类，提取关键实体，例如受影响软件、版本、补丁、PoC、安全事件等，形成关联关系；（3）漏洞情报错误校正与信息补全。

针对挑战3、4和5，openBrain漏洞感知系统采取了自动化供应链分析手段。通过在知识库中对开源软件上下游关系、依赖关系、包含关系等进行预构建和刻画。并基于补丁比对的漏洞检测技术+软件供应链溯源，构建开源漏洞传播模型， 维护开源软件映射矩阵，将不同数据源的软件归一化，实现快速的情报感知。

针对挑战6，openBrain漏洞感知系统采取了漏洞情报动态评级方案。通过根据不同情报内容和漏洞判定方式，实现漏洞情报动态评级系统，在每次情报更新后更新评级，并以此判断情报与开源项目的相关性。

此外，openBrain还提供实时漏洞情报数据汇总，并形成漏洞情报共享接口。Standard Vulnerability Schema涵盖数百个漏洞情报源，能够实时更新结构化漏洞情报，面向工具和业务进行情报共享。

在应用上，openBrain漏洞感知系统从建立之初至2022年10月的两年时间中，涵盖了超过26.5万的漏洞数量，在开源社区中创建的漏洞issue数量达到了7千多个，整个漏洞贡献占到全社区的95%，节省了大量的人力成本，解放了社区更多的开发和创新生产力。其中，1119个漏洞早于美国国家安全漏洞库（NVD）向社区披露，平均的提前感知时长达到23天。

openBrain开源漏洞感知系统是依托漏洞情报自动化获取、知识化与智能分析等技术而形成新型安全基础设施，openBrain在开源社区的应用探索证明了其在开源项目漏洞管理过程中具有很高的价值，能够在降低人力投入的同时极大提升开源社区安全保障能力，让开发者更加专注于创新。

04►

未来展望

目前，微澜正在向OpenHarmony进行能力扩展，帮助社区降低漏洞情报获取难度，提升安全漏洞发现和处置效率，打造更安全的OpenHarmony。也希望大家关注微澜，关注开源漏洞感知及处理相关技术的发展，共同为更多开源项目提供支撑，为开源生态安全发展提供新能力与更大价值。

E N D

点击下方阅读原文获取演讲PPT。

关注我们，获取更多精彩。

审核编辑 黄宇