演講嘉賓 | 楊牧天

回顧整理 | 廖 濤

排版校對 | 宋夕明

嘉賓介紹

OS安全分論壇

楊牧天，北京中科微瀾科技有限公司CEO，中國科學院軟件研究所高級工程師，開放原子開源基金會開源安全委員會-安全平臺工作組組長。曾參與國家重點研發、核高基、863、自然科學基金等多個國家及省部級重大項目，并擔任安全應用項目負責人。擁有多項發明專利及軟著，相關研究成果在包括NDSS、IJCAI、ICSE、FSE等國際頂級會議及期刊發表。

視頻回顧

打開嗶哩嗶哩APP，觀看更清晰視頻

正文內容

在現代軟件開發中，使用三方庫可以減少重復的開發工作，提高代碼的可重用性和可維護性，保證代碼質量。如何建設安全可靠的OpenHarmony生態軟件倉庫，提供高質量三方庫及軟件？北京中科微瀾科技有限公司CEO楊牧天在第二屆OpenHarmony技術大會上進行了精彩分享。

OpenHarmony Package Manager（簡稱：OHPM），是一個面向公眾開放、用于管理和共享OpenHarmony三方庫的平臺，致力于環境良好的開源生態建設，并通過開放治理尋求更加豐富的開源資源共享與交流。目前，OpenHarmony社區已經上線了超過130個JS/ArkTS三方庫，涵蓋UI、動畫、安全、工具、文件數據、網絡、多媒體以及圖片緩存等類型，涉及多家共建廠商與研究機構。

三方庫中心倉是OpenHarmony生態的軟件供應鏈上游，存儲了OpenHarmony系統及應用開發所需的“原材料”，因此其安全保障能力尤為重要。首先，三方庫中通常含有開源軟件，帶來4類主要風險：（1）繼承性漏洞：影響廣，隱藏深，危害大。當上游開源組件中存在漏洞時，該漏洞也會影響下游使用該組件的軟件；（2）上游源投毒：繞過防護植入惡意代碼。攻擊者通過在供應鏈社區中發布惡意軟件包，從而實現攻擊活動；（3）維護性中斷：關鍵軟件斷供影響業務連續。由于開源項目活躍度低、維護能力不足等原因，導致開源軟件無法可靠供應，進而影響業務連續性；（4）合規性沖突：違反開源許可協議導致的風險，例如出海軟件產品禁售等風險。此外，OpenHarmony三方庫中心倉也面臨著隱私、合法合規、網絡安全、兼容性、連續性以及名稱搶注等安全挑戰。

基于上述風險，北京中科微瀾科技有限公司（簡稱：中科微瀾）技術團隊正將自主研發的全鏈路軟件供應鏈安全方案應用于三方庫的審核與持續風險監測，致力于保障開源三方庫及軟件的安全可靠。該方案包括開源軟件供應鏈風險情報、中心倉庫安全監測、源碼分析等方面：

微知——開源風險情報感知服務。微知服務提供了全面和實時的開源風險情報獲取與分析能力，為三方庫開源軟件風險管控提供有效支撐。

微源——開源軟件可信中心倉。微源通過對倉庫內軟件從安全性、維護性、合規性等方面進行持續評估，對高風險軟件及時下架。

微析——開源軟件風險管理平臺。微析服務實現對軟件開發中引入的開源軟件溯源與風險監測，能夠支持對三方庫軟件的源碼級評估。

在對OpenHarmony三方庫中心倉保障方案中，研究團隊采用了多項關鍵技術，以實現實時、高效、可靠的中心倉安全審核與管理能力：

漏洞情報關聯融合技術

通過多源漏洞情報融合，有效整合大量、多源、多維信息，從而提升情報質量與及時性。同時，優質和及時的漏洞情報能夠顯著提升漏洞檢測、評估等業務效果，并為漏洞處置以及分析工作提供有力支撐。

自動化供應鏈分析技術

公開的開源軟件供應鏈漏洞情報存在影響范圍記錄不全面、數據準確率不足等問題，會極大影響相關風險識別工作。為此，探究團隊通過在知識庫中對開源軟件上下游關系、依賴關系、包含關系等進行預構建和刻畫，基于補丁比對的漏洞檢測技術+軟件供應鏈溯源，構建開源漏洞傳播模型，并維護開源軟件映射矩陣，將不同數據源的軟件歸一化，實現快速的情報感知。

動態處置優先級評估技術

通過跟蹤漏洞在外網的討論熱度、輿情、武器化潛力、攻擊事件等多個維度，綜合評估漏洞處置優先級，幫助社區漏洞修復小組識別漏洞外部威脅態勢，更快修復關鍵漏洞。

主體軟件識別技術

由于漏洞的影響范圍可能涉及多款軟件，但其中部分軟件可能是由于引用了那些漏洞直接影響的軟件，從而受到影響。在此，將那些漏洞直接影響的軟件稱為主體軟件，通過識別和修復漏洞影響的主體軟件能夠快速消除漏洞影響范圍。

后續，上述所提到的全鏈路開源軟件供應鏈安全方案計劃在充分的評估和驗證后合入到OHPM項目中，進一步保障OpenHarmony生態軟件倉庫的安全可靠。

E N D

關注我們，獲取更多精彩。

審核編輯 黃宇