PureSec在7月24日披露，它報告了Apache OpenWhisk無(wú)服務(wù)器運行時(shí)中的兩個(gè)漏洞，這些漏洞可能使用戶(hù)處于危險之中。Apache OpenWhisk是一個(gè)開(kāi)源項目，它也是IBM Cloud Functions服務(wù)的基礎。CVE-2018-11756和CVE-2018-11757這兩個(gè)漏洞可能使遠程攻擊者能夠覆蓋易受攻擊的功能的源代碼。OpenWhisk已修復了這些問(wèn)題，而IBM輕視了總體風(fēng)險。

“向Apache開(kāi)放社區報告了這個(gè)風(fēng)險非常低的漏洞之后，IBM在一周內更新了我們的代碼，以防止此小漏洞影響OpenWhisk的用戶(hù)，” IBM Cloud Functions的IBM杰出工程師Michael Behrendt告訴eWEEK。“這種快速反應反映了開(kāi)放社區中構建和運營(yíng)技術(shù)的許多好處，因為可以發(fā)現改進(jìn)并迅速糾正漏洞。

OpenWhisk是一種無(wú)服務(wù)器技術(shù)，有時(shí)也稱(chēng)為功能即服務(wù)或事件驅動(dòng)的編程。在無(wú)服務(wù)器模型中，程序代碼或“功能”在僅用于服務(wù)給定功能的臨時(shí)容器上執行。其他流行的無(wú)服務(wù)器平臺包括AWS Lambda和Google Cloud Functions。PureSec的創(chuàng )始人兼首席技術(shù)官Ory Segal說(shuō)，他的公司正在對所有流行的無(wú)服務(wù)器平臺進(jìn)行比較分析。

Segal告訴eWEEK： “我們要檢查的問(wèn)題之一是功能的隔離能力以及功能代碼的不可變性或缺乏完整性。”

特別要注意的是，西格爾(Segal)警告說(shuō)，在對OpenWhisk進(jìn)行補丁之前，未經(jīng)身份驗證的最終用戶(hù)可能會(huì )利用其公司發(fā)現的漏洞。也就是說(shuō)，沒(méi)有跡象表明OpenWhisk曾經(jīng)被使用這些漏洞的攻擊者所利用。

Segal說(shuō)：“無(wú)服務(wù)器安全性研究和開(kāi)發(fā)技術(shù)是相當前沿的，PureSec無(wú)疑是該領(lǐng)域的先驅。” “我們在互聯(lián)網(wǎng)和黑暗的網(wǎng)絡(luò )上還沒(méi)有看到任何與遠程相關(guān)的東西，我們一直在對其進(jìn)行監控。”

PureSec于7月19日宣布了其無(wú)服務(wù)器安全平臺的全面上市。該平臺包括靜態(tài)分析算法，可在開(kāi)發(fā)階段分析功能;無(wú)服務(wù)器應用防火墻，可在調用后控制功能范圍。還有其他提供無(wú)服務(wù)器安全掃描的供應商，包括Twistlock，該公司于6月19日宣布其無(wú)服務(wù)器功能。

Segal說(shuō)，PureSec的團隊認為無(wú)服務(wù)器是云計算的未來(lái)，它將為開(kāi)發(fā)人員和運營(yíng)商帶來(lái)好處。

他說(shuō)：“在安全性方面，與傳統架構相比，無(wú)服務(wù)器具有巨大優(yōu)勢。” “功能是短暫的，并且不會(huì )長(cháng)時(shí)間存在，這一事實(shí)也降低了使用其基礎結構進(jìn)行長(cháng)期運行的惡意活動(dòng)的能力。”

也就是說(shuō)，Segal強調了無(wú)服務(wù)器不是應用程序安全的靈丹妙藥。開(kāi)發(fā)人員仍然負責構建健壯且安全的無(wú)服務(wù)器應用程序。

他說(shuō)：“像其他任何應用程序一樣，易受攻擊的無(wú)服務(wù)器應用程序仍然可以被濫用和利用。” “主要區別是您不能使用任何傳統的應用程序安全解決方案，例如WAF或RASP，這就是我們創(chuàng )建PureSec的原因。