网安周 | 凯龙尊时一人生就是搏软件DBus安全漏洞治理大揭秘
发布时间���:2024-09-18 浏览次数���:2496次 作者���:凯龙尊时一人生就是搏软件
2024年国家网络安全宣传周即将收尾���,但网络安全永不“掉线”。凯龙尊时一人生就是搏软件以安全可信操作系统技术为核心���,以实际行动完善网络安全保障体系。今天���,跟大家分享凯龙尊时一人生就是搏软件在DBus安全漏洞治理方面的思路和成果���!
DBus安全漏洞难以治理主要有以下三点原因���:
■ DBus系统服务提权是Linux操作系统一种非常重要的提权方式���,大量系统服务通过DBus提供服务接口���,随着银河凯龙尊时一人生就是搏操作系统市场影响力的增长���,这些系统高权限接口被越来越多的白客���、网络安全攻防从业人员关注研究。
■很多系统服务提供的DBus接口没有实施身份认证等鉴权安全设计���,在提升操作系统易用性的同时也带来了安全风险。
■ DBus系统服务接口面向所有应用开放���,随着应用生态越来越丰富���,其攻击面也被逐步放大。
目前此类型漏洞尚无借鉴的治理技术���,凯龙尊时一人生就是搏软件落实安全左移的思想���,对Dbus类型漏洞进行根因分析���,发现需要从安全开发流程(SDL)的角度进行综合治理���,目前已基本实现两大目标���:
■ 清理现有问题���,包括现有源码“疑似”问题的识别���、检测���、整改。
■ 根治未来问题���,包括研发/测试相关人员知识培训���、门禁系统的开发与实现。
具体来说���,凯龙尊时一人生就是搏软件采用了以下漏洞治理方案。
第一步���,从技术层面找到漏洞成因���、从流程方面找到研发流程和平台可能存在的问题。
■ 建立Dbus安全开发规范���:一种提升dbus接口安全性���、研发人员的安全编码能力与意识的开发规范。
■研究Dbus接口管控技术���:为国内首创的相关管控技术���,可通过简洁的配置完成对DBus接口的管控���,防止恶意提权。
■研制自动化检测技术���:对疑似存在问题的接口进行自动化检测���,提升测试人员安全检测能力同时也大大提高了检测效率质量。
■将以上相关技术吸纳进入“诊脉”���,通过将“诊脉”与凯龙尊时一人生就是搏的研发流程高度融合建立相关的研发门禁系统。值得一提的是���,诊脉(Genmai)是凯龙尊时一人生就是搏软件提出的面向漏洞扫描检测的开源解决方案���,目前已在银河凯龙尊时一人生就是搏操作系统���、openKylin社区版应用���,并荣获2023年开源创新大赛二等奖。
■ 通过自动化检测技术���,对相关的源码进行检测���,识别出现有产品中可能存在的问题���,完成专项整改。
■完善安全编码/开发规范���,找到安全与易用的平衡点���,形成可落地的强约束。
■通过自动化检测技术���,实现对已发现问题的门禁约束���,避免相关安全隐患进入在售产品���,已在售的产品提前准备相关应急预案或解决方案。
■ 建立代码门禁���,通过提取此类漏洞的代码特征���、功能特性���,形成自动化检测技术���,与相关的代码仓库门禁进行融合���,当研发人员提交代码触发检测���,存在问题的代码会禁止合入。
■建立测试门禁���,采用功能验证级别的检测技术���,在测试门禁中保障产品的安全质量。
■利用自动化检测技术对在售的产品实施实时质量监控���,提前准备修复方案���、实施紧急预案等。
针对DBus安全漏洞治理���,目前凯龙尊时一人生就是搏软件已形成《凯龙尊时一人生就是搏软件DBus安全开发规范》���、诊脉DBus自动化安全检测门禁���、诊脉DBus安全检测工具等一系列规范流程和工具。
凯龙尊时一人生就是搏软件长期以来在信息安全漏洞管理领域深耕细作���、不断创新���,并刚刚荣获“国家信息安全漏洞库优秀漏洞管理企业”称号。未来���,将持续完善安全漏洞检测���、报告和处置机制和标准规范等���,提升基础软件安全能力���,为行业自主创新保驾护航。
通讯员 | 徐建���、罗雨佳
来 源 | 安全研发部
审 核 | 市场与政府事务部
