PureSec在7月24日披露,它报告了Apache OpenWhisk无服务器运行时中的两个漏洞,这些漏洞可能使用户处于危险之中。Apache OpenWhisk是一个开源项目,它也是IBM Cloud Functions服务的基础。CVE-2018-11756和CVE-2018-11757这两个漏洞可能使远程攻击者能够覆盖易受攻击的功能的源代码。OpenWhisk已修复了这些问题,而IBM轻视了总体风险。
“向Apache开放社区报告了这个风险非常低的漏洞之后,IBM在一周内更新了我们的代码,以防止此小漏洞影响OpenWhisk的用户,” IBM Cloud Functions的IBM杰出工程师Michael Behrendt告诉eWEEK。“这种快速反应反映了开放社区中构建和运营技术的许多好处,因为可以发现改进并迅速纠正漏洞。
OpenWhisk是一种无服务器技术,有时也称为功能即服务或事件驱动的编程。在无服务器模型中,程序代码或“功能”在仅用于服务给定功能的临时容器上执行。其他流行的无服务器平台包括AWS Lambda和Google Cloud Functions。PureSec的创始人兼首席技术官Ory Segal说,他的公司正在对所有流行的无服务器平台进行比较分析。
Segal告诉eWEEK: “我们要检查的问题之一是功能的隔离能力以及功能代码的不可变性或缺乏完整性。”
特别要注意的是,西格尔(Segal)警告说,在对OpenWhisk进行补丁之前,未经身份验证的最终用户可能会利用其公司发现的漏洞。也就是说,没有迹象表明OpenWhisk曾经被使用这些漏洞的攻击者所利用。
Segal说:“无服务器安全性研究和开发技术是相当前沿的,PureSec无疑是该领域的先驱。” “我们在互联网和黑暗的网络上还没有看到任何与远程相关的东西,我们一直在对其进行监控。”
PureSec于7月19日宣布了其无服务器安全平台的全面上市。该平台包括静态分析算法,可在开发阶段分析功能;无服务器应用防火墙,可在调用后控制功能范围。还有其他提供无服务器安全扫描的供应商,包括Twistlock,该公司于6月19日宣布其无服务器功能。
Segal说,PureSec的团队认为无服务器是云计算的未来,它将为开发人员和运营商带来好处。
他说:“在安全性方面,与传统架构相比,无服务器具有巨大优势。” “功能是短暂的,并且不会长时间存在,这一事实也降低了使用其基础结构进行长期运行的恶意活动的能力。”
也就是说,Segal强调了无服务器不是应用程序安全的灵丹妙药。开发人员仍然负责构建健壮且安全的无服务器应用程序。
他说:“像其他任何应用程序一样,易受攻击的无服务器应用程序仍然可以被滥用和利用。” “主要区别是您不能使用任何传统的应用程序安全解决方案,例如WAF或RASP,这就是我们创建PureSec的原因。