聚焦源代码安全，网罗国内外最新资讯！

编译：奇安信代码卫士团队

自2014年 OpenSSL 被曝“心脏出血”漏洞以来，它的安全性得到极大的加固。

OpenSSL是一款实现传输层安全(TLS) 和安全套接字层(SSL) 的开源库，广泛被组织机构用于保护通信安全。

2014年4月，全球获知 OpenSSL 受严重的“心脏出血”漏洞 (CVE-2014-0160) 的影响。该漏洞可被用于在不留下任何痕迹的情况下从本应受保护的通信中获取潜在的敏感信息。

发现“心脏出血”漏洞的研究员表示，“该心脏出血漏洞可导致互联网上的任何人读取由易受攻击的OpenSSL 软件版本的系统内存。它可攻陷用于识别服务提供商并加密流量所使用的密钥、用户的姓名和密码以及实际内容。这可导致攻击者窃听通信，直接窃取服务和用户数据并模拟服务和用户。”

“心脏出血”漏洞被披露后，某些关于利用该漏洞的报告出现，甚至有报告称NSA 在披露之前就获悉该漏洞情况并利用它收集重要情报信息，但NSA 对此予以否认。

转折点

而“心脏出血”漏洞的爆出对于 OpenSSL 而言是一个转折点。

2014年4月，随着“心脏出血”漏洞的披露和发现之后，网络安全社区和技术行业将注意力转向该开源项目，事情开始发生转机。该项目得到大量资金支持，更多的人开始参与它的开发。

虽然在“心脏出血”漏洞被暴露之时起到2016年年末之间，OpenSSL 中被指存在几乎一打数量的严重和高危漏洞，但2017年仅被识别出一个高危漏洞，2018年和2019年它所修复的都是中低危弱点。

OpenSSL管理委员会成员Matt Caswell 指出，“心脏出血”漏洞发生后，该项目进行了重组，“在此之前，我们真的只有一两个人对该项目进行例行提交，根本不存在全职在专门做这件事的人员。由于缺少资源，社区很难参与该项目并集成补丁。我们做的第一件事情之一就是招聘新人并专门开始构建社区。”

目前有两名全职人员在维护 OpenSSL 代码，其中不包括其它组织机构指派的维护该项目的其他人员，委员会团队共有16人，而贡献补丁的更广范围的社区参与人员则更多。

Caswell指出，2013年，共有30名 OpenSSL 贡献人员向主分支提出469个提交，而这距离“心脏出血”漏洞的爆发还有整整一年的时间。而2019年，约有150名作者贡献了1800多次提交。

Caswell认为，“更广泛的社区参与意味着更多的人盯着代码，意味着项目更健康。”

“心脏出血”漏洞爆发后，OpenSSL Project 还开始关注代码质量并为所有提交引入强制性代码审计，确保每一行代码在被接受前都至少由两名经验丰富的开发人员进行验证。

改进 OpenSSL 安全性的其它措施还包括对代码库的多次外部审计、对内建测试框架的重大补充、集成模糊测试、对代码库的例行静态分析以及集成Travis 和AppVeyor 确保所有的pull 请求都得到持续测试。

Caswell指出，“有了更多的社区参与之后，我们能够重写该库需要更新的重要部分。例如，近年来，SSL/TLS状态机器已被完全覆写，而我们拥有全新的、高质量且随机的数字生成组件。”

Caswell指出，2015年和2016年修复的严重漏洞数量较高的原因是，“心脏出血”漏洞爆出后，安全研究员对项目的兴趣提高。

更安全的 OpenSSL

虽然 OpenSSL 项目持续得到研究社区的参与支持，但过去两年中被爆出的漏洞数量已经大幅减少，而Caswell 认为原因在于OpenSSL 变得更加安全。

实际上，OpenSSL 团队是在2018年获得 Real World Cryptography 大赛Levchin 大奖的两个团队之一，他们的获奖理由是“积极改进OpenSSL 代码质量”。

“心脏出血”漏洞爆发后，OpenSSL 项目收到了多种资金支持，包括 Linux 基金会的核心基础设施计划（CII）在内。不过，Caswell 表示，几乎所有的初始资金现在都终止了，目前正在寻找愿意在未来提供项目支持的组织机构。

他表示，“获得稳定的长期经济支持仍然是我们面临的一个挑战。当前很多组织机构指派员工关注该项目，以及支持当前FIPS 项目的组织机构。我们真的非常感激所有以这种方式提供支持的组织机构。”

OpenSSL也在HackerOne 平台上设立了漏洞奖励计划，迄今为止已颁发出3.1万美元的奖励金。

推荐阅读

“心脏出血”漏洞依然活跃 20万台物联网设备易受攻击

荷兰政府向OpenSSL捐赠50万欧元公开反对加密后门

原文链接

https://www.bleepingcomputer.com/news/security/ryuk-ransomware-stops-encrypting-linux-folders/

题图：Pixabay License

本文由奇安信代码卫士编译，不代表奇安信观点，转载请注明“转自奇安信代码卫士 www.codesafe.cn”

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

点个“在看”，bounty 多多~