跳到主要内容

Sigstore和slf4j的安全审计结果,包括发现和修复的1个高风险漏洞

通过 7月 18, 2022#!31周一, 24 10月 2022 17:22:14 -0700p1431#31周一, 24 10月 2022 17:22:14 -0700p-5America/Los_Angeles3131America/Los_Angelesx31 24下午31下午-31周一, 24 10月 2022 17:22:14 -0700p5America/Los_Angeles3131America/Los_Angelesx312022周一, 24 10月 2022 17:22:14 -07002252210下午星期一=136#!31周一, 24 10月 2022 17:22:14 -0700pAmerica/Los_Angeles10#10月 24th, 2022#!31周一, 24 10月 2022 17:22:14 -0700p1431#/31周一, 24 10月 2022 17:22:14 -0700p-5America/Los_Angeles3131America/Los_Angelesx31#!31周一, 24 10月 2022 17:22:14 -0700pAmerica/Los_Angeles10#博客, 淘宝网
Security Audit Results for sigstore and slf4j

作者Amir Montazery, OSTIF

我们很高兴地报告两项安全审计的结果,其中一项是针对 淘宝网 和一个用于 slf4j.Sigstore是一个用于签署、验证和保护软件的新系统;并已迅速发展成为保障软件供应链安全的首要工具。Java的简单日志接口,slf4j,被确定在 哈佛人口普查二 结果是作为最广泛部署的日志框架之一。安全和供应链审查得到了以下方面的协助 开源技术改进基金 并由 包括安全.

安全审计的目的是发现漏洞,以便在攻击者利用这些漏洞之前将其修复,同时也是为了识别机会,加强项目的实施和流程,以应对未来的漏洞。Sigstore和slf4j团队通过要求独立审查和积极参与审计过程,展示了对改善安全状况的坚定承诺。 

Sigstore安全审计

Sigstore安全审计的结果是三个发现(1个高风险,2个低风险),模糊处理的改进,以及一个记录的威胁模型。通过这次安全审计发现的高风险发现和其中一个低风险发现已经被修复和验证。请看 Sigstore安全审计完整报告.

slf4j安全审计

经过审查,我们发现slf4j的攻击面非常小,而且不支持对可能引起安全问题的日志信息进行后处理,比如说 log4j漏洞 2021年公布。安全审计的结果是三个(1个低风险,2个信息性)发现,一个记录的威胁模型,以及针对SLSA的供应链安全审查。通过这次安全审计发现的所有结果都已得到修复和验证。参见 slf4j安全审计完整报告.

关于审计的更多信息,请访问 OSTIF网站.OpenSSF支持像这样的安全审计工作,使开源软件供应链更加安全。主动的安全审计对于在攻击者利用这些漏洞之前检测和修复漏洞有很大的帮助。世界上每个人都依赖于开放源码软件,而安全审计在确保开放源码生态系统的安全方面发挥着重要作用。

这篇文章代表作者的观点,不一定反映所有OpenSSF成员的观点。