安全

安全

openLooKeng是一个高性能的分布式数据虚拟化查询引擎,支持跨源跨域异构数据源的联合查询,适用于TB级或PB级的交互式查询等应用场景,需要满足各种场景下的安全性。作为高性能的大数据内存计算引擎,openLooKeng可以运行在不同的CPU平台上,用户提供标准的SQL查询语句,得到查询结果。数据作为为核心资产,对大数据系统持续开展安全防护,是非常必要的。

为了构建更安全的大数据内存计算引擎,需要您一起来参与。

如何向openLooKeng社区上报安全问题


如果您发现了疑似安全问题,请您使用疑似安全问题上报模板 进行反馈,以便社区漏洞管理团队在能够获得足够详细信息的条件下,尽快确认并修复问题。您的邮件将在1个工作日内得到确认,在7天内对您反馈的疑似安全问题提供更详细的回复,并给出下一步的处理策略。因为漏洞信息比较敏感,建议您使用安全团队邮箱PGP公钥 对邮件信息进行加密。

漏洞上报内容

为了便于快速的确认和验证疑似漏洞,请在漏洞上报邮件中包含但不限于以下内容:

  • 基本信息:包括漏洞影响的模块、漏洞的触发条件和成功利用后对系统的影响等。
  • 技术细节:包括系统配置、定位方法、Exploit的描述、POC、问题重现方法和步骤等。
  • 修复方案建议。
  • 上报者的组织和联系方式。
  • 上报者可能的漏洞披露计划。

漏洞严重性评估

业界普遍使用CVSS标准评估漏洞的严重性,openLooKeng在使用CVSSv3进行漏洞评估时,需要设定漏洞攻击场景,基于在该攻击场景下的实际影响进行评估。漏洞严重等级评估是指针对漏洞利用难易程度,以及利用后对机密性、完整性、可用性的影响进行评估,并生成一个评分值。

评估标准

openLooKeng社区采用CVSS v3对漏洞进行评估,CVSS V3由通过对以下向量来评估一个漏洞的影响:

  • 攻击向量(AV)-表示攻击的“远程性”以及如何利用此漏洞。
  • 攻击复杂性(AC)-讲述攻击执行的难度以及成功进行攻击需要哪些因素。
  • 用户交互(UI)-确定攻击是否需要用户参与。
  • 所需的权限(PR)-记录成功进行攻击所需的用户身份验证级别。
  • 范围(S)-确定攻击者是否可以影响具有不同权限级别的组件。
  • 机密性(C)-衡量信息泄露给非授权方后导致的影响程度。
  • 完整性(I)-衡量信息被篡改后导致的影响程度。
  • 可用性(A)-衡量用户在需要访问数据或服务时受影响的程度。

评估原则

  • 评估漏洞的严重等级,不是评估风险。
  • 评估时必须基于攻击场景,且保证在该场景下,攻击者成功攻击后能对系统造成机密性、完整性、可用性影响。
  • 当安全漏洞有多个攻击场景时,应以造成最大的影响,即CVSS评分最高的攻击场景为依据。
  • 被嵌入调用的库存在漏洞,要根据该库在产品中的使用方式,确定漏洞的攻击场景后进行评估。
  • 安全缺陷不能被触发或不影响CIA(机密性/完整性/可用性),CVSS评分为0分。

评估步骤

对漏洞进行评估时,可根据下述步骤进行操作:

  • 设定可能的攻击场景,基于攻击场景评分。
  • 确定漏洞组件(Vulnerable Component)和受影响组件(Impact Component)。
  • 选择基础评估指标的值:通过对可利用指标(攻击向量/攻击复杂度/所需权限/用户交互/范围)和受影响指标(机密性/完整性/可用性)给出漏洞影响评估。

严重等级划分

严重等级(Severity Rating)CVSS评分(Score)
致命(Critical)9.0 - 10.0
高(High)7.0 - 8.9
中(Medium)4.0 - 6.9
低(Low)0.1 - 3.9
无(None)0.0

openLooKeng社区安全问题披露流程


收到问题后,我们将会按照如下流程处理安全问题:

  • 收到疑似安全问题后,安全委员会(Security Committee, SC)立即确认上报信息完整性和问题严重性;

  • 组织社区团队开展技术分析,确认问题细节,并给出分析报告;

  • 确认漏洞并申请CVE,与漏洞上报者开展问题沟通,对齐后续修复&发布计划,准备安全公告(SA);

  • 完成漏洞补丁开发/验证,启动受限披露;

  • 公开发布补丁和安全公告(SA)。

openLooKeng 安全委员会(Security Committee, SC)


通过接收和响应openLooKeng产品安全问题报告、提供社区安全指导,开展安全治理等活动提升社区产品的安全性。 SC的使命:为openLooKeng用户提供最安全的产品和开发环境。

工作职责

安全委员会(Security Committee, SC)由社区内的漏洞管理专家组成,工作职责包括:

  • 漏洞收集:社区成员和外部研究者发现的疑似安全漏洞,都可以通过 securities@openlookeng.io 上报给SC;
  • 漏洞跟踪处置:VMT会将确认的漏洞录入openLooKeng社区,并负责漏洞的确认/修复,期间会与上报者保持有效沟通;
  • 负责任的披露:漏洞得到妥善的修复后,VMT将会以SA的形式将漏洞信息发布到社区。
  • 组织开展项目安全架构设计审计、代码安全检视等活动。
  • 提供社区项目技术决策的安全意见。

组织会议

  • 公开的会议时间:北京时间,每双周周五上午,11:00点~12:00点
  • 会议参与方式:提前一天在openLooKeng社区发布会议通知,你可以订阅openLooKeng社区邮件,加入slack/ 微信等渠道获得通知。
  • SC会议的例行议题包括:
    • 社区漏洞处理进展跟踪
    • 社区安全工具进展跟踪
    • 其他社区安全专项议题,如安全指南、漏洞奖励计划等。
  • 欢迎对社区安全感兴趣的开发者参加旁听

SC成员

openLooKeng安全公告(SA)

公告概要严重等级影响产品影响组件发布时间
openLooKeng-SA-2021-1213log4j security updateCriticalopenLooKeng EngineHetuCore;ESConnector;RangerPlugin2021/12/13