網(wǎng)安周 | 麒麟軟件DBus安全漏洞治理大揭秘

■ DBus系統(tǒng)服務(wù)提權(quán)是Linux操作系統(tǒng)一種非常重要的提權(quán)方式，大量系統(tǒng)服務(wù)通過DBus提供服務(wù)接口，隨著銀河麒麟操作系統(tǒng)市場影響力的增長，這些系統(tǒng)高權(quán)限接口被越來越多的白客、網(wǎng)絡(luò)安全攻防從業(yè)人員關(guān)注研究。

■很多系統(tǒng)服務(wù)提供的DBus接口沒有實施身份認證等鑒權(quán)安全設(shè)計，在提升操作系統(tǒng)易用性的同時也帶來了安全風險。

■ DBus系統(tǒng)服務(wù)接口面向所有應(yīng)用開放，隨著應(yīng)用生態(tài)越來越豐富，其攻擊面也被逐步放大。

■ 清理現(xiàn)有問題，包括現(xiàn)有源碼“疑似”問題的識別、檢測、整改。

■ 根治未來問題，包括研發(fā)/測試相關(guān)人員知識培訓(xùn)、門禁系統(tǒng)的開發(fā)與實現(xiàn)。

■ 建立Dbus安全開發(fā)規(guī)范：一種提升dbus接口安全性、研發(fā)人員的安全編碼能力與意識的開發(fā)規(guī)范。

■研究Dbus接口管控技術(shù)：為國內(nèi)首創(chuàng)的相關(guān)管控技術(shù)，可通過簡潔的配置完成對DBus接口的管控，防止惡意提權(quán)。

■研制自動化檢測技術(shù)：對疑似存在問題的接口進行自動化檢測，提升測試人員安全檢測能力同時也大大提高了檢測效率質(zhì)量。

■將以上相關(guān)技術(shù)吸納進入“診脈”，通過將“診脈”與麒麟的研發(fā)流程高度融合建立相關(guān)的研發(fā)門禁系統(tǒng)。值得一提的是，診脈（Genmai）是麒麟軟件提出的面向漏洞掃描檢測的開源解決方案，目前已在銀河麒麟操作系統(tǒng)、openKylin社區(qū)版應(yīng)用，并榮獲2023年開源創(chuàng)新大賽二等獎。

■ 通過自動化檢測技術(shù)，對相關(guān)的源碼進行檢測，識別出現(xiàn)有產(chǎn)品中可能存在的問題，完成專項整改。

■完善安全編碼/開發(fā)規(guī)范，找到安全與易用的平衡點，形成可落地的強約束。

■通過自動化檢測技術(shù)，實現(xiàn)對已發(fā)現(xiàn)問題的門禁約束，避免相關(guān)安全隱患進入在售產(chǎn)品，已在售的產(chǎn)品提前準備相關(guān)應(yīng)急預(yù)案或解決方案。

■ 建立代碼門禁，通過提取此類漏洞的代碼特征、功能特性，形成自動化檢測技術(shù)，與相關(guān)的代碼倉庫門禁進行融合，當研發(fā)人員提交代碼觸發(fā)檢測，存在問題的代碼會禁止合入。

■建立測試門禁，采用功能驗證級別的檢測技術(shù)，在測試門禁中保障產(chǎn)品的安全質(zhì)量。

■利用自動化檢測技術(shù)對在售的產(chǎn)品實施實時質(zhì)量監(jiān)控，提前準備修復(fù)方案、實施緊急預(yù)案等。