CISA 联合指南警告开源项目中的内存安全漏洞


CISA 与联邦调查局、澳大利亚信号局的澳大利亚网络安全中心和加拿大网络安全中心合作,制作了一份联合指南,为企业提供有关选定开源软件 (OSS) 中内存安全风险规模的调查结果。

“本指南以内存安全路线图为基础,为软件制造商提供了一个创建内存安全路线图的起点,包括解决外部依赖项(通常包括 OSS)中的内存安全问题的计划。探索关键开源项目中的内存安全也符合 2023 年国家网络安全战略和相应的实施计划,该计划讨论了对内存安全的投资以及与开源社区的合作,包括建立跨机构开源软件安全倡议 (OS3I) 和对内存安全编程语言的投资。”

该指南发现,在所分析的关键开源项目中,有 52% 的项目包含用内存不安全语言编写的代码,占这些项目总代码行数的 55%。在最大和最受欢迎的项目中,内存不安全代码的情况更为明显;按代码行数计算,前 10 个最大的项目使用内存不安全语言编写的代码中位数为 62.5%,其中有 4 个项目使用内存不安全语言的比例超过 94%。

依赖性分析结果显示,用内存安全语言编写的项目往往依赖于用内存不安全语言编写的组件,凸显了内存安全漏洞的普遍性。例如,对一些项目进行的依赖性分析表明,看似安全的项目往往包含了用不安全语言编写的模块,用于实现密码学和系统接口等功能,从而导致这些项目继承了潜在的漏洞。

该指南认为,开发者亟需转向 Rust 等内存安全编程语言,以大大减少人为错误的机会。并建议企业和其他接触内存不安全代码的开源代码用户,应使用内存安全语言过渡现有项目并启动新项目,以增强软件安全性。

CISA 鼓励所有组织和软件制造商审查指南中的方法和结果,以便:减少内存安全漏洞、做出安全和明智的选择、了解OSS内存不安全风险、评估降低这种风险的方法、以及继续努力推动软件制造商采取降低风险的行动。

完整内容可查看:https://www.ic3.gov/Media/News/2024/240626.pdf


相關推薦

2023-09-14

充满活力的社区的支持。” 供应链安全公司 Chainguard 的联合创始人兼首席执行官 Dan Lorenc 认为,CISA 在细分该领域的问题,然后优先解决这些问题方面做得很好。他们很好地认识到了这项工作需要“在上游进行,CISA 员工需要直

2022-09-27

开源软件法案》将确保美国政府预测并减轻开源软件中的安全漏洞,以保护美国人最敏感的数据。” 据称,这项重要的立法将是美国有史以来第一次将开源软件列入公共基础设施。 《保护开源软件法案》将指导 CISA(网络安全

2023-03-11

发展基金会、中国网络空间研究院、中国互联网投资基金联合主办。本届大赛以“开源创新,共建生态”为主题,围绕国家在开源人才培养和开源生态建设方面的重大战略需求,聚焦“卡脖子”相关技术领域以及人工智能、物联

2024-03-21

、避免使用 C++ 和 C 语言等易受攻击的语言,以减少内存安全漏洞的数量来提高软件安全性。 C++ 之父 Bjarne Stroustrup 在日前与 InfoWorld 的采访中针对白宫的这些言论进行了反驳。“我感到惊讶的是,这些政府文件的作者似乎对当

2024-08-06

几年来,包括谷歌和微软在内的科技巨头一直在宣传内存安全漏洞带来的问题,并推广使用 C 和 C++ 以外不需要手动内存管理的语言。这些消息也引起了拥有大量遗留代码的美国政府公共部门的注意,并促使白宫和美国网络安全

2023-02-24

持续发展的开源生态越来越受到关注。 开源指南针平台联合了华为、北京大学、南京大学、开源PHP等产业和学术界的中坚力量,共同开展学术研究和技术开发。开源指南针平台立足开源,针对开源生态的健康开展度量和分析,

2024-07-03

中央网信办、国家发展改革委、国家标准委等四部门近日联合印发《国家人工智能产业综合标准化体系建设指南(2024版)》。 其中指出,到2026年,标准与产业科技创新的联动水平持续提升,新制定国家标准和行业标准50项以上

2021-12-23

注漏洞的发展状况,并发布了《关于阿帕奇Log4j2组件重大安全漏洞的网络安全风险提示》通告 —— 如此种种都意味着,Log4shell 漏洞已是一个全球性的网络安全问题。

2023-03-15

新一代人工智能开源开放平台(OpenI)、百度、腾讯开源联合发起。 相比业界其它开源生态健康评估平台,开源指南针 OSS Compass 提供公开的 SaaS 服务,只需输入 GitHub 或 Gitee 托管平台上的仓库名称或社区名称,即可全面展示该

2022-11-13

的;谷歌的 Chrome 在几年内也发现了类似比例的内存安全漏洞。 该组织认为,恶意的网络行为者会利用不良的内存管理问题来访问敏感信息、颁布未经授权的代码执行、以及造成其他负面影响,而这些通常会危及设备并成为

2023-05-05

是提升它们在内存方面的安全性,确保它们不再遭受内存安全漏洞的困扰,并进一步增强 Linux 和开源生态系统的安全性。 据介绍,Prossimo 选择的软件会重点关注以下方面: 使用非常广泛(几乎每个服务器/客户端都在使用)

2023-08-31

是提升它们在内存方面的安全性,确保它们不再遭受内存安全漏洞的困扰,并进一步增强 Linux 和开源生态系统的安全性。 sudo(substitute user [或 superuser] do),是一种计算机程序,用于类 Unix 操作系统如 BSD、Mac OS X/macOS 以及

2022-11-07

形式,帮助新人朋友快速了解 smart-socket。从基本的使用指南,直至原理剖析,满足不同类型用户的需求。 如果你对哪方面感兴趣,可以通过 ISSUE 留言告诉我们,方便我们了解用户的切实需求。 一、更新内容 1.1 Features 🌈

2021-11-12

导致对原平台用户隐私的侵犯。而在软件本身没又被发现安全漏洞前,其数据安全问题并不值得担忧。 而在各方讨论 Öppna Skolplattformen 有没有违法的期间,越来越多开发者和用户开始用脚投票,加入开源项目的建设。