上周末,安全专家在社交媒体上了解并分析了Log4j漏洞。Forrester已经发布一个博客但是除了短期(和中期)响应问题之外,还有一些长期的风险管理和社区考虑因素——特别是开源支持、维护和风险。事实是Log4j的漏洞正是我们需要的警钟。

它不会发生在我们身上/不会再发生——以及我们告诉自己的其他谎言

这并不是开源软件(OSS)中发现的第一个漏洞,但它可能是影响最大的,因为使用Log4j的是数以百万计的服务器适用于企业应用和云服务。在电子游戏中发现的开源软件漏洞,我们有什么处理的先例?那么2021年10月发现的松鼠漏洞呢,cve - 2021 - 41556,可以是被利用获得访问权限到底层机器?然而,大多数公司在没有应对这种规模的危机的策略或计划的情况下匆忙响应Log4j。

OSS风险管理有机地(或神奇地)发生的神话

那么,我们为什么不密切关注与OSS相关的风险呢?一种解释是,我们错误地认为,如果这么多人都在使用OSS,而且任何人都可以维护它,那么风险管理就会自然而然地发生——或者神奇地发生。当每个人都负责,但没有人(没有单独的团队/团队/实体)负责时,事情就不会完成。随着安全领域对Log4j漏洞和漏洞的响应,很明显,Log4j在Java应用程序中无处不在,但只有少数无偿志愿者维护这个库:

2014年,在“心脏出血”之后,Linux基金会宣布了核心基础设施计划(CII)是一个公司和开发者之间的伙伴关系,帮助为开源软件的关键部分提供资金。Linux基金会在关于该计划的博客中指出:

开源只是发生在某人的地下室的想法是一个神话。随着软件变得越来越复杂,对全职开发人员支持的需求也越来越大。CII将帮助识别和资助那些对我们的现代计算结构至关重要但可能资源不足的项目。

随着时间的推移,CII过渡到开放源码安全基金会(OpenSSF)不同的融资模式(基于会员费和公司贡献而不是补助金),但总体任务是相似的:提高开源的安全性和”将资源集中在最关键的软件上10月,OpenSSF筹集了1000万美元在新的投资来扩大和资助它开源安全基金会该项目将识别并修复开源软件中的网络安全漏洞——但是,正如他们所说,晚了一天,少了一美元。

开源存在第三方风险

在接下来的几周里,将会有很多关于Log4j环境的事后评论。公司会问他们的安全团队一个最重要的问题是:在“心脏出血”之后的所有行动中,为什么我们没有看到Log4j的本质——一个支持关键基础设施的第三方软件——并相应地管理风险?未来几周肯定会有更多的细节浮出水面,但就我们目前所知,有一件事是明确的:风险管理开放源码软件的发展没有跟上公共和私营部门开放源码软件使用热潮的步伐。如果没有风险管理策略,企业就没有所需的预算或资源,事后看来,它们本应拥有这些资源。

开源并不符合第三方的经典定义,但毫无疑问:企业必须将其视为对其组织的第三方风险。事实上,联邦金融机构审查委员会(FFIEC)发布了关于使用自由和开源软件的风险管理2004年——那时OSS受到开发者的信任,但企业的信任却较少。尽管增加650%在对软件供应链的攻击和占所有软件70%以上的开源无处不在的情况下,FFIEC指南在16年里似乎没有更新。

我们在SBOM游戏中迟到了

最后,我们想提一个我们已经谈了很多的东西:软件材料清单(SBOM)。在发现Log4j漏洞后的几个小时内,许多安全负责人正确地指出,一组准确的soms将帮助组织针对其环境中的脆弱组件做出响应(“准确”是这里的关键词)。然而,SBOM可以服务于更广泛的目的。综合来看,以统一的、可读的格式搜索所有公共soms可以让我们了解哪些组件是普遍存在的,因此是“关键的”。如果来自Java应用程序的soms中有很高的比例突出显示了Log4j,这难道不应该告诉我们它值得关注吗?

公平地说,我们多年来一直知道Log4j是无处不在的,但也许正是它的无处不在导致它在雷达下消失了。对产品中出现的最常见的软件包进行系统的、基于度量的分析,是否会迫使我们面对开源“太普遍而不能失败”的现实?这个问题值得进一步讨论,随着网络安全与基础设施安全局(Cybersecurity & Infrastructure Security Agency)启动其SBOM-a-rama这周(时机很好!),我们希望参会者能考虑一下。

保护你自己会导致保护行业

软件有缺陷——有时是严重的安全缺陷,具有重大的潜在后果。当我们思考下一步该怎么做时,有一些行动将有助于保护你的组织,也有一些行动将有助于保护更广泛的行业。在内部,它是关于识别和管理开源的风险,并使用所有必要的工具和流程(软件组合分析、第三方风险管理、SBOM、资产管理)来应对风险。在外部,考虑您的组织能够并且应该如何为您使用的开源做出贡献。无论是通过开发还是资助,每个组织都可以成为开源的积极支持者,而这种支持将有助于提高开源的安全性。让开源支持成为风险管理策略的一部分。

看看我们关于Log4j的另一个博客以及我们下面的相关研究进行调查进一步讨论。