开源安全倍增器:如何借助专家支持最大化开源工具价值

本文探讨企业如何通过专业安全团队增强开源工具的安全性,包括代码审计、漏洞修复、功能定制和维护支持,涵盖osquery、StreamAlert等实际案例的技术实现细节。

获取开源安全倍增器 - Trail of Bits博客

越来越多的组织和公司(包括联邦政府)在其安全运营架构、安全开发工具等领域依赖开源项目。

开源解决方案为具备开发能力的团队提供了诸多优势,使他们能够自主应对安全挑战。团队可以快速实施这些方案来提供基础能力,如“进程日志”或“访问机器状态”,无需等待采购审批。他们可以在开源代码之上构建自定义组件,完美契合公司需求。此外,开源解决方案具有透明度,投资回报率高(因为投资会使工具变得更好,而不是支付许可证费用),并能获得用户社区的维护。

潜在问题是什么?

开源可能意味着更快、更简单、更好的解决方案,但缺少一件事:专家工程支持。

如何选择适合需求的工具?如何知道这个开源解决方案有效?它安全吗?当没有人修复已报告的bug时该怎么办?当需要新杀手级功能但公司无人能构建时该怎么办?当引入破坏性变更需要升级时会发生什么?

我们如何提供帮助

我们是安全研究人员,专门评估代码安全性和构建安全解决方案。如果您想利用开源安全技术,我们可以帮助您选择合适的工具,清理技术债务,构建必要的新功能,并为您维护。我们的开发人员修复bug,更新过时的组件或实践,加固易受攻击的代码,并在必要时完全重新设计。我们为您解决所有阻碍进展的问题提供前进道路。

如何确保这个开源项目适合我的需求? 我们可以找到最适合组织需求的开源解决方案。我们可以修复需要修复的内容,构建必要的新功能,然后维护您的最终解决方案。

如果我需要新功能怎么办? 无论是将软件移植到新操作系统,将工具与堆栈中的其他工具集成,还是为现有工具开发新用例,我们的团队都是构建安全解决方案的专家。构建完成后,我们与开源项目团队合作将功能合并到公共仓库中,以便通过更新持续维护这些功能。

如何修复已知bug? 我们可以修复它们并处理技术债务,以防止未来出现更多bug。

如果开源依赖项中引入破坏性变更怎么办? 我们可以重新设计解决方案以保持功能。

开源软件安全吗? 我们可以审查其安全最佳实践,确保没有恶意代码,并加固代码以最小化公司风险。

如何知道这个开源解决方案有效? 我们可以审查其代码,了解其工作原理,测试边缘情况以确认一致预期行为。如果发现任何损坏或设计不良的地方,我们可以修复它。如果项目确实无法修复,我们可以完全重新设计系统以适应组织需求。

我们的工作方式

我们开始在三个领域为利用开源技术的公司提供支持小组:

安全运营:该团队支持保护公司设备群和用户免受网络级攻击的技术。

安全开发:该团队自动化软件测试,加固软件,并将安全性构建到现代开发实践中。

核心基础设施:该团队改进需要维护或重新设计以缓解新发现攻击的基本核心基础设施。

对于每个小组,我们帮助客户选择最适合需求的开源项目,更新和修复所需功能,构建完全符合客户需求的自定义功能,并维护技术以确保其有效和安全。

看看我们安全运营小组的一些成功案例:

Facebook的osquery

将设备群系统数据转换为可查询数据库的端点监控工具。

迄今成功:

  • 将osquery移植到Windows
  • 完全重新设计审计后端并添加新的基于审计的文件完整性监控表
  • 实现新表以捕获SELinux事件
  • 添加Windows事件日志记录器插件和对Windows的Firehose/Kinesis支持
  • 创建Trail of Bits扩展仓库以实现防火墙管理、Santa白名单集成等功能
  • 为osquery扩展启用安全写访问
  • 实现扩展捆绑,以将多个扩展合并为单个二进制文件
  • 为Windows添加Authenticode验证支持

AirBnB的StreamAlert

无服务器实时数据分析框架,使用自定义数据源和警报逻辑,使用户能够从任何环境摄取、分析数据并设置警报。

迄今成功:

  • 添加收集Slack访问和集成日志的应用程序(即集成)
  • 添加收集阿里云ActionTrail事件的应用程序

Google Santa

用于macOS的二进制白名单/黑名单系统,帮助管理员跟踪不良或良好的二进制文件。

迄今成功:

  • 创建集成Santa与osquery的扩展,还能够管理端点配置
  • 添加对CMake和模糊测试的支持
  • 通过添加对MOLXPCConnection 1.2中引入的无权限XPC接口的支持来改进权限分离

Google Omaha + CrystalNix Omaha Server

Google Update的开源版本。开发人员可以使用它安装所需软件并保持更新。(这组增强功能即将公开发布)

迄今成功:

  • 创建简化构建过程的脚本
  • 简化重新品牌化Omaha以与自定义Omaha服务器配合使用的过程
  • 在CrystalNix Omaha服务器中添加对最新Google Omaha客户端与SHA256的支持

我们下一步希望帮助的领域

在利用开源工具的公司安全状况和技术能力方面,仍有很大改进空间。在安全运营中,我们可以利用有前景的开源技术进行内存取证、用户账户安全、二进制分析和秘密管理。我们可以增强模糊测试、符号执行和二进制提升方面的软件测试能力。通过重新设计、改进和维护广泛采用的取证、包管理和文档解析工具,我们可以消除行业范围内的风险。

我们如何帮助您?

我们如何帮助开源安全解决方案更好地为您工作?请告诉我们!

如果您喜欢这篇文章,请分享: Twitter LinkedIn GitHub Mastodon Hacker News

页面内容

潜在问题是什么? 我们如何提供帮助 我们的工作方式 Facebook的osquery AirBnB的StreamAlert Google Santa Google Omaha + CrystalNix Omaha Server 我们下一步希望帮助的领域 我们如何帮助您? 近期文章 构建安全消息传递很难:对Bitchat安全辩论的细致看法 使用Deptective调查您的依赖项 系好安全带,Buttercup,AIxCC的评分轮正在进行中! 使智能合约超越私钥风险成熟发展 Go解析器中意外的安全隐患 © 2025 Trail of Bits。 使用Hugo和Mainroad主题生成。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次