2024 年红帽产品安全风险报告：CVE、XZ 后门、SSCA、AI……天哪！

泡上一大杯甜茶或咖啡，阅读红帽产品安全团队发布的 2024 年产品安全风险报告。 我一直努力了解开源生态系统及其面临的安全挑战。 我发现今年的报告篇幅明显更长，但其深度和细节并没有令人失望。 事实上，今年报告中一个值得注意的补充是对 AI 的讨论。 

数字游戏：增长，增长，然后……等等，什么？

首先，让我们分析一下原始数据。 红帽安全公告 （RHSA）在 2024 年达到了新的峰值，达到 2975。过去几年一直在稳步增长。有趣的是，虽然重要和中等咨询数量显著增加， 严重公告略有减少，表明红帽倾向于采取更主动的安全实践和更快的检测速度。

常见漏洞披露（CVE）数量猛增至 4272 个，与往年相对稳定的数字相比，这是一个显著的增长。 是什么原因造成的？ 报告强调了 Linux 内核组织于 2024 年 2 月成为 CVE 编号机构（CNA）。 开始为许多内核问题分配 CVE 编号，而其中许多问题以前并没有获得分配。 如果您过滤掉这些新的 kernel.org CVE，趋势线将变得更加熟悉，仅略有增加，这可能反映了红帽不断增长的产品组合，但无需过虑。 

深入研究后发现，大多数新内核 CVE 的评级为中等和低， 并且 kernel.org 在 2024 年分配的 CVE 中，只有 45% 影响了当前的红帽企业 Linux （RHEL）内核。 此外，重点应该仍然放在与实际利用尝试位置相符关键和重要漏洞上。 红帽快速解决超过一半的严重 CVE，在 7 天或更短的时间内提供首次修复，并在 Day 0 提供 3 个修复， 验证了这种方法的有效性。

如果没有上述背景，在查看这些指标时，您可能会想，红帽在做什么？ 原始 CVE 数量显著增加，但红帽产品的潜在风险状况实际上并没有同步变化。 这些数字再次证明，仅依靠 CVE 数量是不够的；您还必须考虑严重性、可利用性和相关性。 红帽对修补关键和重要问题的关注得到了数据的验证，表明这是大多数现实世界漏洞利用发生的地方，也证明了基于风险的方法是最合理的。

XZ 后门：房间里的大象

在 2024 年，如果不提及 XZ 后门事件，就无法谈论安全问题。 这是一次经过周密考虑的供应链攻击，至今仍困扰着开源社区。 一位受信任的维护人员花费两年多的时间在社区中建立信任关系，然后将一个复杂的后门引入到 XZ 库中。 如果 Andres Freund 没有注意到它造成的性能滞后，那么它可能会危及无数系统上的安全 Shell（SSH）访问。

在本报告中，红帽反思了开源社区的应对措施，同时强调了固有的风险，并展示了开源模式的优势。 快速的协作分析和信息共享之所以成为可能，是因为源代码和交互都是公开的。 该报告还讨论了红帽自身流程中的障碍，例如 Fedora 测试和 RHEL 质量工程，可以发现此问题，尽管无法完全确定。  

XZ 后门事件敲响了警钟。 这一事件将对开源领域的信任和贡献流程产生长期影响。 供应链攻击的数量和复杂性都在增长。 攻击者正在寻找方法，以开发人员日常使用的通用工具和共享代码为目标，希望造成广泛的问题。 这些类型的攻击表明，软件供应商需要多层保护：自动检查所用任何预构建代码部件的安全性，拥有用于构建软件的安全装配线，并在添加任何新部件之前仔细检查它们。 值得庆幸的是红帽已部署多项检查措施到位，能够及时发现最近的 XZ 安全问题，这强调了这些安全层确实有所帮助。 安全绝非一劳永逸。

供应链困境

软件供应链攻击（SSCA）的数量不断增加，以及对开源组件的依赖程度之高，简直令人难以置信，但从统计数据来看，这却是事实。 Black Duck 的分析描绘了一幅令人不安的画面：高达 97% 的商业代码库依赖于开源组件。 虽然这提高了创新和开发的速度，但也可能为恶意行为者创造极具吸引力的目标，数据显示他们不会放过任何机会。 红帽对公开报告的 SSCA 的跟踪显示，2024 年发生了 89 起事件，同比增长 68%。 Sonatype 的报告也印证了这种令人不安的趋势，软件供应链正日益受到威胁。

XZ Util 漏洞和朝鲜恶意行为者利用精心设计的就业欺诈计划来获得内部访问权限，只是恶意行为者所用策略不断演变的两个例子。 这样做的问题在于，对于大多数此类攻击，动机在很大程度上是未知的，并且仍然有大量攻击无人认领。 如果您不完全了解谁在攻击或为什么攻击，就很难进行有效的防御。 我们知道一些攻击者想要钱或试图进行间谍活动，但我们不知道许多攻击的目标。 这使得网络威胁的整体情况变得复杂，并且难以预测或建模。 从攻击者的角度来看，以开发人员及其接入点为目标是完全合理的，因为掌握着“王国的钥匙”，但这也意味着构建我们数字世界的人为因素是一个主要目标。

这些 SSCA 表明，技术娴熟的匿名攻击者正越来越多地利用关键的开源依赖项。 鉴于开源是现代软件的基础，我们不能简单地停止使用它。 因此，我们需要从根本上转变。 我们需要在整个开发生命周期中嵌入更主动的安全协议，而不仅仅是在我们应对漏洞时。 这包括更好地审查依赖项，为开发人员提供强大的安全实践，并且正如 XZ 响应所强调的那样，供应商、社区和用户需要共同投资以确保生态系统的安全。 我们对开源的依赖程度越高，就越需要对其安全性进行相应的投资。 我们仍在努力追赶那些明显领先几步的对手。

AI 颂歌

如果您错过了，在过去一年中，生成式 AI（gen AI）呈爆炸式增长，从聊天机器人到编码助手再到创意工具，发展势头没有减缓的迹象，预计到 2030 年，gen AI 将以每年 37% 的速度增长。 至少可以说，这个数字令人难以置信。 

但与任何耀眼的新技术一样，生成式 AI 也有一个“蜜月期”，每个人都专注于它的功能。 它的运行速度有多快？ 它可以创造多少价值？ 它将如何改变我们的做事方式？

但是，现在我们看到了生成式 AI 的真正价值，尤其是在医疗保健、金融和政府等高度监管的行业中，这些行业的错误可能会产生重大影响，因此我们必须开始思考  一些严肃的问题。 我们如何确保 AI 的使用安全、可靠和值得信赖？ 我们能否相信它不会把事情搞砸或泄露私人信息？ 决策者表示，数据安全已经是人们今年对 AI 的最大担忧。 这是完全合理的。 您一定不希望自己的个人信息泄露，也不希望 AI 因为构建不安全而做出错误的决策。 正如您在上面读到的，我们已经在开源领域中确定了一些高关注度的目标。 

我很高兴看到我们不仅仅是在追赶 AI 的潮流，实际上，我们正在努力研究如何确保 AI 的安全。 但是，这并非易事。 

红帽在建立信任：AI 中安全性、安全和透明度的基础中首先指出了将 AI 安全漏洞与 AI 安全问题区分开来的必要性：

• 安全漏洞：黑客找到入侵  AI 系统的方法。
• 安全问题：AI 本身说出不准确、有偏见甚至有害的内容，即使没有人“入侵”它。

这些问题需要以不同的方式解决，因为修复漏洞与教导 AI 避免生成有害内容或虚假信息，两者性质截然不同。

令人欣慰的是，红帽等公司、欧盟和美国等政府以及各个行业团体都在努力解决这个问题。 他们正在努力创建指南、标准和方法来跟踪这些不同的人工智能风险。 他们希望从头开始以负责任的方式构建这项技术，培训工程师并创建安全的设计。 重要的是，红帽不仅仅是说说而已，我们正在积极构建。

那么，这一切意味着什么？ 人工智能的蓬勃发展令人兴奋，它可能会改变许多事情。 但归根结底，一切都取决于信任。 与任何良好的关系一样，信任是基础。 我们与 AI 的关系必须建立在信任的基础上，这样我们才能充分利用它，而不仅仅是炫酷的演示。 这来自于幕后的辛勤工作，以确保技术安全、可靠并按预期运行。 听起来有合适的人正在关注这一点，这是个好消息。 我们现在就需要小心谨慎并建立护栏，而不是试图在以后解决巨大的问题。 我们需要那些信任 AI 的人来完成这项工作！  

SDLC 背后的故事

2024 年，红帽证明了每一款可靠的产品的背后，都凝聚着确保万无一失的努力。 我们的方法不仅仅是遵循 NIST 安全标准。 红帽正在开发自己独特的方法，以帮助验证我们构建的所有内容（包括 AI 技术）从一开始就可靠且值得信赖。

红帽安全软件开发生命周期（RHSDLC）为我们提供了一个构建以安全为中心的软件的计划，现在变得更加智能，并且更加符合当前现实世界的安全挑战。 但我们不只是在勾选复选框。 我们正在创建我们自己的标准，例如 RHSDLC，通过改进安全操作审批（SOA）程序，以确保软件供应链从头到尾都得到加强安全。 这包括验证第三方工具、自动执行检查并在风险成为问题之前标记风险。 这就像在泄漏仍然只是滴水时就修复，而不是等到洪水泛滥。 我们致力于通过彻底探索安全细节并优先考虑信任、透明度和弹性来增强客户对我们产品的信心。

我很高兴看到安全架构审查（SAR）已标准化并纳入 RHSDLC。 这些审查支持经过实践检验的经典安全原则，例如 “仅授予绝对必要的访问权限”、“分层防御” 并确保从第一天起就将安全防护融入到产品设计中。 

最后是 RapiDAST。 如果您对开源甚至应用开发感兴趣，那么这个工具是一颗隐藏的宝石。 它是红帽的动态应用程序安全测试工具，在 2024 年进行了一些重大升级。 RapiDAST 不仅变得更加强大，而且变得更加易于使用。 例如，它能够为 Kubernetes operator 测试提供支持、实现更好的自动化并提供更简单的界面。 现在，它可以将结果直接导出到 Google Cloud Storage，从而提高协作效率。

红帽正在将所有这些直接构建到我们的 CI/CD 管道中，而这些管道正是开发人员每天用来构建和发布产品的系统。 对于那些依赖工具的人来说，无论您是开发人员、IT 专业人员还是试图确保系统安全的最终用户，致力于以安全为中心的开发都非常重要。 在一个网络威胁持续不断的世界中，知道您的软件供应商从设计阶段到测试和组件跟踪都非常重视安全，这会让人感到安心。 红帽将安全视为质量的一个核心部分，而不仅仅是事后的想法。

2025 年再见

今年的报告提醒我们，安全总是在不断发展变化。 随着 CVE 报告方式的变化、持续存在的供应链风险、AI 日益增长的影响以及漏洞优先级划分，用户有很多需要考虑的因素。

拥有像这样透明的报告非常重要。 它们可以帮助我们所有人（从开发人员到 IT 团队，再到像我一样好奇的读者）了解正在发生的事情，了解挑战并做出更明智的选择。 在我看来，  这不仅仅是为了预防问题，我们如何应对这些问题也同样重要。 在像 XZ 后门这样的事件中，开源社区是如何团结起来的？ 这就是协作的力量在发挥作用！

阅读完整版的红帽 2024 年产品安全风险报告。