PureSec在7月24日披露，它報(bào)告了Apache OpenWhisk無服務(wù)器運(yùn)行時(shí)中的兩個(gè)漏洞，這些漏洞可能使用戶處于危險(xiǎn)之中。Apache OpenWhisk是一個(gè)開源項(xiàng)目，它也是IBM Cloud Functions服務(wù)的基礎(chǔ)。CVE-2018-11756和CVE-2018-11757這兩個(gè)漏洞可能使遠(yuǎn)程攻擊者能夠覆蓋易受攻擊的功能的源代碼。OpenWhisk已修復(fù)了這些問題，而IBM輕視了總體風(fēng)險(xiǎn)。

“向Apache開放社區(qū)報(bào)告了這個(gè)風(fēng)險(xiǎn)非常低的漏洞之后，IBM在一周內(nèi)更新了我們的代碼，以防止此小漏洞影響OpenWhisk的用戶，” IBM Cloud Functions的IBM杰出工程師Michael Behrendt告訴eWEEK。“這種快速反應(yīng)反映了開放社區(qū)中構(gòu)建和運(yùn)營技術(shù)的許多好處，因?yàn)榭梢园l(fā)現(xiàn)改進(jìn)并迅速糾正漏洞。

OpenWhisk是一種無服務(wù)器技術(shù)，有時(shí)也稱為功能即服務(wù)或事件驅(qū)動(dòng)的編程。在無服務(wù)器模型中，程序代碼或“功能”在僅用于服務(wù)給定功能的臨時(shí)容器上執(zhí)行。其他流行的無服務(wù)器平臺(tái)包括AWS Lambda和Google Cloud Functions。PureSec的創(chuàng)始人兼首席技術(shù)官Ory Segal說，他的公司正在對(duì)所有流行的無服務(wù)器平臺(tái)進(jìn)行比較分析。

Segal告訴eWEEK： “我們要檢查的問題之一是功能的隔離能力以及功能代碼的不可變性或缺乏完整性。”

特別要注意的是，西格爾(Segal)警告說，在對(duì)OpenWhisk進(jìn)行補(bǔ)丁之前，未經(jīng)身份驗(yàn)證的最終用戶可能會(huì)利用其公司發(fā)現(xiàn)的漏洞。也就是說，沒有跡象表明OpenWhisk曾經(jīng)被使用這些漏洞的攻擊者所利用。

Segal說：“無服務(wù)器安全性研究和開發(fā)技術(shù)是相當(dāng)前沿的，PureSec無疑是該領(lǐng)域的先驅(qū)。” “我們?cè)诨ヂ?lián)網(wǎng)和黑暗的網(wǎng)絡(luò)上還沒有看到任何與遠(yuǎn)程相關(guān)的東西，我們一直在對(duì)其進(jìn)行監(jiān)控。”

PureSec于7月19日宣布了其無服務(wù)器安全平臺(tái)的全面上市。該平臺(tái)包括靜態(tài)分析算法，可在開發(fā)階段分析功能;無服務(wù)器應(yīng)用防火墻，可在調(diào)用后控制功能范圍。還有其他提供無服務(wù)器安全掃描的供應(yīng)商，包括Twistlock，該公司于6月19日宣布其無服務(wù)器功能。

Segal說，PureSec的團(tuán)隊(duì)認(rèn)為無服務(wù)器是云計(jì)算的未來，它將為開發(fā)人員和運(yùn)營商帶來好處。

他說：“在安全性方面，與傳統(tǒng)架構(gòu)相比，無服務(wù)器具有巨大優(yōu)勢(shì)。” “功能是短暫的，并且不會(huì)長時(shí)間存在，這一事實(shí)也降低了使用其基礎(chǔ)結(jié)構(gòu)進(jìn)行長期運(yùn)行的惡意活動(dòng)的能力。”

也就是說，Segal強(qiáng)調(diào)了無服務(wù)器不是應(yīng)用程序安全的靈丹妙藥。開發(fā)人員仍然負(fù)責(zé)構(gòu)建健壯且安全的無服務(wù)器應(yīng)用程序。

他說：“像其他任何應(yīng)用程序一樣，易受攻擊的無服務(wù)器應(yīng)用程序仍然可以被濫用和利用。” “主要區(qū)別是您不能使用任何傳統(tǒng)的應(yīng)用程序安全解決方案，例如WAF或RASP，這就是我們創(chuàng)建PureSec的原因。