获取开源安全倍增器 - Trail of Bits博客

Lauren Pearl
2018年8月22日
engineering-practice, osquery

越来越多的组织和公司（包括联邦政府）在其安全运营架构、安全开发工具等领域依赖开源项目。

开源解决方案为具备开发能力的团队提供了诸多优势，使其能够自主应对安全挑战。团队可以快速实施这些方案以提供基础能力，如“进程日志”或“访问机器状态”，无需等待采购审批。他们可以在开源代码之上构建自定义组件，以完美契合公司需求。此外，开源解决方案透明，投资回报高（因为投资使工具变得更好，而不是支付许可证费用），并由用户社区维护。

有什么陷阱？

开源可能意味着更快、更简单、更好的解决方案，但缺少一件事：专家工程支持。

你如何选择适合需求的工具？如何知道这个开源解决方案有效？它安全吗？当没有人修复报告的漏洞时你该怎么办？当你需要一个新杀手级功能但公司内无人能构建时你该怎么办？当引入破坏性变更需要升级时会发生什么？

我们如何提供帮助

我们是安全研究人员，专注于评估代码安全性和构建安全解决方案。如果你想利用开源安全技术，我们可以帮助你选择正确的工具、清理技术债务、构建必要的新功能并为你维护。我们的开发人员修复漏洞、更新过时的组件或实践、加固易受攻击的代码，并在必要时完全重新设计。我们提供解决所有阻碍性问题的途径。

• 如何确保这个开源项目适合我的需求？ 我们可以找到最适合组织需求的开源解决方案。我们可以修复任何需要修复的问题，构建必要的新功能，然后维护你的最终解决方案。
• 如果我需要新功能怎么办？ 无论是将软件移植到新操作系统、将工具与堆栈中的其他工具集成，还是为现有工具开发新用例，我们的团队都是构建安全解决方案的专家。一旦构建完成，我们会与开源项目团队合作将功能合并到公共仓库中，以便通过更新持续维护功能。
• 如何修复已知漏洞？ 我们可以修复它们并处理技术债务，以防止未来出现更多漏洞。
• 如果开源依赖中引入破坏性变更怎么办？ 我们可以重新设计解决方案以保持功能。
• 开源软件安全吗？ 我们可以审查其安全最佳实践，确保没有恶意代码，并加固代码以最小化公司风险。
• 如何知道这个开源解决方案有效？ 我们可以审查其代码，理解其工作原理，并测试边缘情况以确认一致的预期行为。如果我们发现任何损坏或设计不良的地方，我们可以修复它。如果项目确实无法修复，我们可以完全设计系统以适应你的组织。

我们如何做

我们开始为利用开源技术的公司提供三个领域的支持小组：

• 安全运营： 该团队支持保护公司设备群和用户免受网络级攻击的技术。
• 安全开发： 该团队自动化软件测试、加固软件，并将安全性构建到现代开发实践中。
• 核心基础设施： 该团队改进需要维护或重新设计以减轻新发现攻击的基本核心基础设施。

对于每个小组，我们帮助客户选择最适合需求的开源项目，更新和修复所需功能，构建自定义功能以完美契合客户需求，并维护技术以确保其有效和安全。

看看我们安全运营小组的一些成功案例：

Facebook的osquery
将设备群系统数据转换为可查询数据库的端点监控工具。

迄今为止的成功：

• 将osquery移植到Windows。
• 完全重新设计审计后端并添加新的基于审计的文件完整性监控表。
• 实现新表以捕获SELinux事件。
• 添加Windows事件日志记录器插件和Windows的Firehose/Kinesis支持。
• 创建Trail of Bits扩展仓库以实现防火墙管理、Santa白名单集成等。
• 为osquery扩展启用安全写访问。
• 实现扩展捆绑，以将多个扩展合并为单个二进制文件。
• 添加Windows的Authenticode验证支持。

AirBnB的StreamAlert
无服务器实时数据分析框架，使用自定义数据源和警报逻辑，使用户能够摄取、分析并设置来自任何环境的数据警报。

迄今为止的成功：

• 添加收集Slack访问和集成日志的应用（即集成）。
• 添加收集阿里云ActionTrail事件的应用。

Google Santa
macOS二进制白名单/黑名单系统，帮助管理员跟踪不良或良好二进制文件。

迄今为止的成功：

• 创建集成Santa与osquery的扩展，还能够管理端点配置。
• 添加CMake和模糊测试支持。
• 通过添加MOLXPCConnection 1.2中引入的无特权XPC接口支持改进权限分离。

Google Omaha + CrystalNix Omaha Server
Google Update的开源版本。开发人员可以使用它安装请求的软件并保持更新。（这套增强功能即将公开发布）

迄今为止的成功：

• 创建脚本以简化构建过程。
• 简化重新品牌化Omaha以与自定义Omaha服务器配合使用的过程。
• 在CrystalNix Omaha服务器中添加对最新Google Omaha客户端与SHA256的支持。

我们下一步希望帮助的领域

在利用开源工具的公司安全状况和技术能力方面，仍有很大改进空间。在安全运营中，我们可以利用有前景的开源技术进行内存取证、用户账户安全、二进制分析和秘密管理。我们可以增强模糊测试、符号执行和二进制提升中的软件测试能力。我们可以通过重新设计、改进和维护广泛采用的取证、包管理和文档解析工具来消除行业范围内的风险。

我们如何帮助你？

我们如何帮助开源安全解决方案更好地为你工作？让我们知道！

如果你喜欢这篇文章，请分享： Twitter LinkedIn GitHub Mastodon Hacker News

页面内容
有什么陷阱？
我们如何提供帮助
我们如何做
Facebook的osquery
AirBnB的StreamAlert
Google Santa
Google Omaha + CrystalNix Omaha Server
我们下一步希望帮助的领域
我们如何帮助你？
近期文章
Trail of Bits的Buttercup在AIxCC挑战赛中获第二名
Buttercup现已开源！
AIxCC决赛：记录表
攻击者的提示注入工程：利用GitHub Copilot
作为新员工发现NVIDIA Triton中的内存损坏
© 2025 Trail of Bits。
使用Hugo和Mainroad主题生成。