提高开源软件安全性 ——Linux基金会推出Red Team项目

为了提高开源软件的安全性,Linux基金会启动了Red Team项目,该项目旨在孵化开源安全工具,以支持网络范围自动化、容器化测试实用程序、二进制风险量化以及标准验证和改进。

Red Team Project的主要目标是保护那些正在使用开源软件的项目。他们使用攻击者相同的工具、技术和程序,但以建设性的方式提供反馈并帮助企业/机构的项目更安全。

为了解更多信息,Linux基金会采访了Google的客户工程师Jason Callaway,以了解有关Red Team项目的更多信息。

Linux Foundation:你能简单介绍一下Red Team项目及其与Fedora Red Team SIG的历史吗?

Jason Callaway:我在Def Con 25与Red Hatters的同事一起创建了Fedora Red Team SIG。我们有一些想要构建的漏洞利用映射工具,我受到了Mudge和Sarah Zatko的Cyber-ITL项目的启发。我想对他们的方法进行开源实现。Fedora项目慷慨地提供托管,并且是极大的倡导者。现在我在谷歌,我很幸运能够将Red Team作为我的20%项目,我希望能够扩大其影响力并建立一个更加供应商中立的社区。Fedora正在与LF合作,支持我们的项目分支,并将在我们的技术指导委员会中有代表。

LF:该项目的一些短期和长期目标是什么?

Jason:我们最直接的目标是恢复正常运转。这意味着迁移GitHub repos,建立我们的网络和社交媒体,最重要的是,回到编码。我们正在组建一个技术指导委员会,我认为这将成为帮助我们保持专注和有影响力的真正力量倍增器。我们还将在华盛顿特区举行一次聚会,这场聚会将在演讲者和实用的漏洞利用黑客马拉松之间进行为期两周。

LF:为什么开源对项目很重要?

Jason:开源在很多方面对我们很重要,但主要是因为这是正确的做法。网络安全是一个影响个人、企业、政府和每个人的全球性问题。因此,我们必须使开源软件更安全。

有很多人在努力,以典型的开源方式,我们是站在巨人的肩膀上。但Red Team项目希望为开源软件安全提供一些明显的积极价值。

LF:社区如何更多地学习并参与其中?

Jason:我曾经有一位经理人喜欢说,“80%的工作只需要露露脸。”当然他在开玩笑,但这肯定适用于开源项目。要了解更多信息,你可以亲自到场,或通过Google Hangout参加我们的聚会,订阅我们的邮件列表,并在GitHub或我们的网站上查看我们的项目。

项目地址:

https://github.com/redteam-project

Linux 基金会宣布红队项目,致力于孵化开源安全工具

谁都想软件有着很高的安全性吧。毕竟,每一天都会有不一样的安全漏洞,从糟糕软件的沼泽中冒出来。

在近期举办的开源领导力峰会上,Linux 基金会宣布了新的红队项目(Red Team Project)。新项目将孵化出开源网络安全工具,帮助开源软件安全性的提高。

对于不在安全领域的人来说,红队可以模仿现实中攻击者追踪系统的方法,是一个公司测试安全软件的有效选择。而红队项目正是开源安全工具的孵化器,这些工具包括了网络攻防(cyber range)自动化、容器化渗透测试工具、二进制风险量化和标准验证程序。

这个项目并非凭空产生,而是基于 Fedora 红队特别兴趣小组。Jason Callaway,现在是谷歌客户工程师,在当时开启了 “Fedora 红队 SIG。红队项目有一些想要构建的漏洞映射工具,同时也想做出 Cyber-ITL 项目的开源实现。

这里提到的网络攻防(Cyber-range),是指模拟黑客攻击的虚拟空间,理论上是在云上进行的。一次网络攻防包括了易受攻击的机器镜像、易受攻击的应用配置,攻击平台,漏洞利用和操作者。用户可以部署黑客脚本,用代表着现实情况的红蓝队进行安全训练。通俗点说,就是用你的安全基础设施进行“战争游戏”。

开源 CTL (Cyber Test Lab)提供给了开源软件一个代码分析的方法。除了可以帮到开发者,终端用户也可以使用 CTL 帮助预防糟糕的二进制文件。

目前可以在 GitHub 上看到红队项目的一些开源信息

来自:开源中国