开源软件曾被视为技术发烧友的“专享”,现在已经逐渐成为众多关键基础设施组件的基本组成部分。
《2020年开源安全和风险分析(OSSRA) 报告》显示:2019年,经过审计的有效代码库中,99%的代码库至少包含一个开源组件,开源在所有代码中所占比例高达70%,这一比例在过去的五年中几乎翻了一番。
有75%的代码库包含至少一个公开漏洞,明显高于2018年的60%。近半的代码库包含高风险漏洞,占比在2019年增至49%,高于2018年的40%。
一旦具有大规模用户基础的开源软件漏洞被利用,顷刻间亿万设备都会受其影响。面对可能会随时爆发的世界级网络安全浩劫,360安全大脑快速布局,360BugCloud开源漏洞响应平台应运而生。
1·“我洞由我”,360BugCloud
开创漏洞自主议价新模式
一个漏洞的价值到底有多少?
2019年伊始,微软送出了总额高达20万美元的奖金,奖励360漏洞研究院冰刃实验室研究员发现的Hyper-V RCE漏洞。通过该漏洞,攻击者只需要一台虚拟机就可以直接影响大范围云主机及宿主机的安全。微软通过社交媒体发表感谢称,360安全研究员提交的这个漏洞“守卫了数十亿用户”的信息安全。
对于企业来说,管理开源的使用非常重要。现代应用中包含大量的开源组件,它们存在安全性、许可和代码质量等一系列问题。
360BugCloud开源漏洞响应平台通过漏洞悬赏,聚焦收录未被披露的开源以及通用组件高危漏洞,降低漏洞被利用的风险,维护开源软件和供应链安全。
在微软5月、6月安全公告中,宣布修复了一批Windows平台的安全漏洞。其中,360BugCloud联合360漏洞研究院合力贡献了22枚Windows漏洞并获得致谢,成为本期微软安全公告的最大亮点。
此外,在谷歌5月、6月、7月修复的安卓平台安全漏洞中,360BugCloud与360漏洞研究院也一同贡献了3枚安卓漏洞。在漏洞挖掘上,360BugCloud将继续不遗余力的专注基础软件的漏洞发现、追踪和防御,积极推动厂商及时修复威胁。
上线近一年,360BugCloud平台收到了来自全球的大量开源高危漏洞,包含0day漏洞和1day漏洞,这些漏洞的提交成功守护了数千万台终端,其中包括:IoT/网络设备等3950万台,建站系统类2011万台,框架插件类872万台,中间件类2300万台,客户端软件801万台等,涉及政府、企、事业等上百余家单位,覆盖:能源、金融、交通、医疗、电信、教育、政府众多关键行业领域,避免了全球数亿的价值损失。
与其他平台相比,360BugCloud首创自主议价的漏洞提交收录模式及第三方专家评审机制,让安全研究员全面掌握提交漏洞的主动权,让他们的付出以及每个漏洞价值得到充分的保障与肯定。
漏洞提交前期,安全研究员仅需提交漏洞影响力描述,无需提供细节,即可进行议价沟通;在议价中,安全研究员可随时中止,也可请求平台接入第三方业内知名安全专家参与评估。价值沟通达成一致后,安全研究员提交漏洞细节,平台进行验证与收录。
在近期发起的安全研究员匿名调查中,100%的安全研究员对360BugCloud平台首创的“先谈钱,再交洞”自主议价模式给予了8分及以上的分数(满分为10分),78.6%的用户给予了满分肯定。
在漏洞定价上,71.4%的安全研究员给出了8分,其中,35.7%的用户给予了满分。此外,在谈到是否愿意推荐其他“洞友”来360BugCloud提交漏洞时,100%的用户表示:Yes,I do!
2·携手伙伴360BugCloud 共建大安全生态
目前,360BugCloud已联合顶级安全研究员、各大SRC、国内外开源组织社区、知名安全战队及安全厂商等合作伙伴,一同构建漏洞生态,已累计发放漏洞奖励数千万元。
在6月发起的“RCE漏洞赏金计划·夏”活动中,360BugCloud设立了300万元漏洞奖金池,并扩大了漏洞收录范围,以鼓励更多安全研究员的加入,共建大安全生态。
未来,360BugCloud开源漏洞响应平台将继续秉承“Trust信任,Tenet原则,Top权威,Together共建”的“04T”宗旨,打造“以信任为基础、以公正为原则、以技术为驱动、以安全专家为核心”的漏洞响应平台,严守网络安全“命门”,共创21世纪第五维战略空间新纪元。