2022年一季度开源软件安全与合规大事记

政府与政策 

2022年3月25日，不断加剧的俄乌冲突导致很多开源软件站队表达对乌克兰的支持，比如通过一些反战标语等等。但是同样表明对乌克兰支持立场的 Open Source Initiative 表达了担忧，在一份声明中，OSI反对破坏性的抗议软件，并恳请社区成员找到创造性的、替代的方案来利用他们作为维护者的立场来反对战争。“The downsides of vandalizing open-source projects far outweigh any possible benefit, and the blowback will ultimately damage the projects and contributors responsible,"(“破坏开源项目的弊端远远超过任何可能的好处，这种抗议将最终损害开源项目本身和其贡献者。”)

Ref: https://www.wired.com/story/open-source-sabotage-protestware/   

2022年3月23日，美国联邦首席信息安全官 Chris DeRusha 在由 NIST 主办的研讨会上表示，OMB(Office of Management and Budget)办公室计划在未来 8 到 12 周内为各机构发布新的安全软件指南。该指南基于美国国家标准与技术研究院 2 月份发布的“安全软件开发框架”（SSDF）以及“软件供应链安全指南”。这一系列的软件安全的要求是去年5月拜登总统签署的网络安全的的行政命令中规定的。最近的 Log4j 漏洞进一步推动了这项工作。 

Ref: https://federalnewsnetwork.com/cybersecurity/2022/03/white-house-drivingfast-to-issue-software-security-guidance-for-agencies/  

漏洞与安全 

2022 年 4 月 21 日，安全研究人员发现了一种音频编码格式的漏洞，该漏洞可以被利用来帮助黑客通过发送恶意音频文件来远程攻击 Android 手机。该漏洞涉及 Apple 无损音频编解码器 (ALAC)，该公司去年发现了该问题。该编解码器是开源的，并在包括 Android 智能手机在内的非 iPhone 设备上广泛使用。高通和联发科的安全公告表明，该漏洞影响了两家公司的数十个芯片组，包括 Snapdragon 888 和 865，这意味着数百万 Android 智能手机受到影响。 

Ref: https://www.pcmag.com/news/flaw-in-audio-format-exposed-millions-ofandroid-phones-to-remote-hacking  

2022 年 4 月 1 日，PEAR PHP 存储库中披露了一个存在 15 年的开源软件安全漏洞，该漏洞可能允许攻击者进行供应链攻击，包括获得未经授权的访问权限以发布恶意程序包和执行任意代码。 

Ref: https://thehackernews.com/2022/04/15-year-old-bug-in-pear-phprepository.html  

2022 年 3 月 29 日，一位中国研究员在 Twitter 上公布了一个针对 Spring4Shell 的 0-day 开源软件漏洞，该漏洞是基于 Spring Java Framework，针对所有高于JDK 9 版本。该漏是继 log4shell 之后又一影响范围巨大的开源漏洞。 

Ref: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-22965 

投资事件 

2022 年 4 月 19 日，信息安全公司 Fortress Information Security 宣布已筹集 1.25 亿美元，作为高盛资产管理公司私募股权业务管理的战略投资的一部分。迄今为止，Fortress 的平台包括一系列工具和功能，可帮助企业自动化供应链管理，包括风险评估、工作流程、分析持续监控和监管报告。 

2022 年 2 月 1 日，微软和谷歌共同投资了 500 万美元用于一个 OpenSSF 中的新项目，以提高 10,000 个开源项目的软件供应链安全性。该项目名为 AlphaOmega ，旨在通过在开源代码中寻找新的、未被发现的漏洞，然后与项目维护者合作修复它们来提高供应链安全性。 

许可证与版权 

暂无