CTinspector在openEuler ebpf-sig中开始孵化并持续运作,该项目为多结点巡检、运算场景链式传递提供了一个基础框架。 CTinspector其主要目的是解决传统OVS连接跟踪CT流表过滤规则开发任务重,查看耗时多的问题。该软件通过基于ebpf技术的网络流量监测与分析,能够快速定位网络性能瓶颈。基于ebpf的ACL将传统iptables命令行配置替换为ebpf程序,简化ACL的功能开发和提高下发速度。基于流式RPC的Packet VM节省网络带宽和缩小时延,从而方便运维人员诊断网络问题。目前该项目已经实现了主题框架,OBS编译构建和集成测试均已通过。与普通的巡检工具相比,该项目的特点在于可以在预设的剧本中调用内核中的ebpf埋点获取数据,并把结果及剧本直接传向下一个操作结点继续执行,免去将结果回传给任务发起结点的过程,最大程度的提高了执行和分布式运算的效率。
CTinspector让网络性能观测更直观。该项目解决了传统ACL配置复杂且不直观,一个报文最终是ACCEPT还是DROP需要把全部chain的规则看完才能知道的问题。大大简化了ACL的复杂实现,特别是范围比较,掩码匹配等特殊处理。彻底改变了ACL这种逐条规则匹配的方式,当一个报文匹配多条规则时性能会得到非常大的提升。
服务端框架上分为内核函数、加载器、编译器、路由器、转发器、调度器、执行器、内存映射几个大的模块。当外部任务下发时,剧本内容、上下文环境、运算结果等会被全部封装在packet VM中,从而可以实现非交互式链式传播,大大提高执行和结果运算的效率。
当前,CTinspector框架已被封装成RPM包发布,方便安装及版本迭代。用户可以根据模板自主书写多剧本,然后在CTinspector的统一架构下进行编译,生成ebpf可执行程序。用户使用该框架可以将ACL流表快速一体化的封装进执行剧本,自定义控制动作及触发条件,定制多结点的巡检工具、高性能运维工具。
CVE(Common Vulnerabilities and Exposures)的全称是公共漏洞和暴露,用于标准化识别已知的系统漏洞和缺陷,旨在帮助用户在众多独立的漏洞数据库中和漏洞评估工具中共享系统漏洞数据,提高系统安全管理水平。虽然CVE对系统安全具有重要意义,但由于目前用户侧缺乏CVE相关管理平台和工具,CVE信息难以在系统安全中有效发挥其关键作用。通过cve-ease平台,用户可以查看CVE信息的详细内容,包括漏洞描述、影响范围、修复建议等,并根据自己的系统情况选择合适的修复方案。cve-ease 平台旨在帮助用户快速了解和应对系统中存在的漏洞,提高系统安全性和稳定性。cve-ease已经在欧拉社区开放源码,期待社区的朋友们加入项目开发,共同打造一个安全、稳定、可靠的国产操作系统生态。
cve-ease一个专注于CVE信息的平台,它的架构主要由四个模块组成,分别是CVE爬虫、CVE分析器、CVE通知器和CVE前端:
1.CVE爬虫
该模块负责从openEuler社区提供的各个CVE数据源抓取CVE信息,并将其存储到MySQL等关系型数据库中。这些关键信息主要来源于cve-manager项目。目前,cve-manager支持从以下数据源获取CVE信息:NVD、CNNVD、CNVD、RedHat、Ubuntu、Debian等。
2.CVE分析器
该模块负责对CVE信息进行解析、归类、评分等操作。cve-ease使用Python编写了一个分析器脚本,它会定期从关系型数据库中读取原始CVE信息,并进行以下操作:解析CVE信息的基本属性(如编号、标题、描述等)、归类CVE信息的影响范围(如操作系统、软件包等)、评分CVE信息的危害程度(如CVSS评分等)、匹配CVE信息的修复建议(如补丁链接等)。分析器脚本会将处理后的结构化CVE信息以SQL格式持久化到数据库中,以便后续的查询和展示。
3.CVE通知器
该模块负责根据用户的订阅配置,通过邮件、微信、钉钉等方式发送CVE通知给用户。cve-ease使用Python编写了一个通知器脚本,它会定期从MySQL数据库中读取结构化CVE信息,并进行以下操作:过滤出用户关注的影响范围(如操作系统、软件包等)、生成适合不同渠道的通知内容(如文本、图片等)、调用不同渠道的API发送通知给用户(如SMTP协议发送邮件、HTTP协议发送微信或钉钉消息等)。通知器脚本会记录发送结果和反馈情况,并更新MySQL数据库中的订阅状态。
4.CVE前端
该模块负责提供一个友好的cli终端命令,让用户可以查看、搜索、订阅CVE信息。cve-ease的架构设计旨在实现高效、灵活、可扩展的CVE信息平台,为用户提供及时准确地安全漏洞情报服务。
cve-ease项目截止目前,共计输出CVE排查文档超5000个,应对安全扫描报告上百次,累计覆盖的CVE问题数量近2万个。相较于原先的解决方案,感知能力从原先的7天降低到15分钟,基于ease研发的一整套CVE处理方案能达到80%以上的自动化效果,提升处理效率的同时大大降低人力开销。实践证明,cve-ease能够及时、高效、可靠的应对漏洞安全问题,为自研系统提供了一种创新的漏洞安全解决方案,为企业的信息化建设和数字化转型增添了新的动力和价值,为自研系统保驾护航。