目前，該項(xiàng)目已經(jīng)實(shí)現(xiàn)了主題框架，通過了OBS編譯構(gòu)建和集成測(cè)試。與普通的巡檢工具相比，該項(xiàng)目的特點(diǎn)是可以在預(yù)設(shè)的劇本中調(diào)用內(nèi)核中的ebpf埋點(diǎn)獲取數(shù)據(jù)，并把結(jié)果及劇本直接傳向下一個(gè)操作結(jié)點(diǎn)繼續(xù)執(zhí)行，免去將結(jié)果回傳給任務(wù)發(fā)起結(jié)點(diǎn)的過程，從而提高執(zhí)行和分布式運(yùn)算的效率。

傳統(tǒng)ACL配置復(fù)雜且不直觀，一個(gè)報(bào)文最終是ACCEPT還是DROP需要查看完全部chain規(guī)則才能知曉。而CTinspector大大簡(jiǎn)化了ACL的復(fù)雜實(shí)現(xiàn)方式，特別是范圍比較、掩碼匹配等特殊處理，徹底改變了ACL逐條規(guī)則匹配的方式，當(dāng)一個(gè)報(bào)文匹配多條規(guī)則時(shí)性能將得到大幅提升。

CTinspector的服務(wù)端框架分為內(nèi)核函數(shù)、加載器、編譯器、路由器、轉(zhuǎn)發(fā)器、調(diào)度器、執(zhí)行器、內(nèi)存映射幾大模塊。當(dāng)外部任務(wù)下發(fā)時(shí)，劇本內(nèi)容、上下文環(huán)境、運(yùn)算結(jié)果等會(huì)被全部封裝在packet VM中，從而可以實(shí)現(xiàn)非交互式鏈?zhǔn)絺鞑?，大大提高?zhí)行和結(jié)果運(yùn)算的效率。

當(dāng)前，CTinspector框架已被封裝成RPM包發(fā)布，方便安裝與版本迭代。用戶可以根據(jù)模板自主書寫多劇本，然后在CTinspector的統(tǒng)一架構(gòu)下進(jìn)行編譯，生成ebpf可執(zhí)行程序。用戶使用該框架可以將ACL流表快速一體化封裝進(jìn)執(zhí)行劇本，自定義控制動(dòng)作及觸發(fā)條件，定制多結(jié)點(diǎn)的巡檢工具、高性能運(yùn)維工具。

cve-ease，提高系統(tǒng)安全管理水平

CVE（Common Vulnerabilities and Exposures）的全稱是公共漏洞和暴露，用于標(biāo)準(zhǔn)化識(shí)別已知的系統(tǒng)漏洞和缺陷，旨在幫助用戶在眾多獨(dú)立的漏洞數(shù)據(jù)庫(kù)和漏洞評(píng)估工具中共享系統(tǒng)漏洞數(shù)據(jù)，提高系統(tǒng)安全管理水平。雖然CVE對(duì)系統(tǒng)安全具有重要意義，但由于目前用戶側(cè)缺乏CVE相關(guān)管理平臺(tái)和工具，使得CVE信息難以在系統(tǒng)安全中有效發(fā)揮其關(guān)鍵作用。

2023年，天翼云基礎(chǔ)架構(gòu)事業(yè)部原創(chuàng)的另一款新項(xiàng)目cve-ease在內(nèi)部開始持續(xù)孵化運(yùn)作。cve-ease 平臺(tái)旨在幫助用戶快速了解和應(yīng)對(duì)系統(tǒng)中存在的漏洞，提高系統(tǒng)安全性和穩(wěn)定性。通過cve-ease平臺(tái)，用戶可以查看CVE信息的詳細(xì)內(nèi)容，包括漏洞描述、影響范圍、修復(fù)建議等，并根據(jù)自己的系統(tǒng)情況選擇合適的修復(fù)方案。

目前，cve-ease 已經(jīng)在歐拉社區(qū)開放源碼，社區(qū)用戶可以加入項(xiàng)目開發(fā)，共同打造安全、穩(wěn)定、可靠的國(guó)產(chǎn)操作系統(tǒng)生態(tài)。

作為一款專注于CVE信息的平臺(tái)，cve-ease的架構(gòu)主要由四個(gè)模塊組成，分別是CVE爬蟲、CVE分析器、CVE通知器和CVE前端。

1.CVE爬蟲

該模塊負(fù)責(zé)從openEuler社區(qū)提供的各個(gè)CVE數(shù)據(jù)源抓取CVE信息，并將其存儲(chǔ)到MySQL等關(guān)系型數(shù)據(jù)庫(kù)中。這些關(guān)鍵信息主要來源于cve-manager項(xiàng)目。目前，cve-manager支持從NVD、CNNVD、CNVD、RedHat、Ubuntu、Debian等數(shù)據(jù)源獲取CVE信息。

2.CVE分析器
該模塊對(duì)CVE信息進(jìn)行解析、歸類、評(píng)分等。cve-ease使用Python編寫了一個(gè)分析器腳本，它會(huì)定期從關(guān)系型數(shù)據(jù)庫(kù)中讀取原始CVE信息，并進(jìn)行以下操作：解析CVE信息的基本屬性（如編號(hào)、標(biāo)題、描述等）、歸類CVE信息的影響范圍（如操作系統(tǒng)、軟件包等）、評(píng)分CVE信息的危害程度（如CVSS評(píng)分等）、匹配CVE信息的修復(fù)建議（如補(bǔ)丁鏈接等）。分析器腳本會(huì)將處理后的結(jié)構(gòu)化CVE信息以SQL格式持久化到數(shù)據(jù)庫(kù)中，以便后續(xù)查詢和展示。

3.CVE通知器

該模塊根據(jù)用戶的訂閱配置，通過郵件、微信、釘釘?shù)确绞较蛴脩舭l(fā)送CVE通知。cve-ease使用Python編寫了一個(gè)通知器腳本，定期從MySQL數(shù)據(jù)庫(kù)中讀取結(jié)構(gòu)化CVE信息，并進(jìn)行以下操作：過濾出用戶關(guān)注的影響范圍（如操作系統(tǒng)、軟件包等）、生成適合不同渠道的通知內(nèi)容（如文本、圖片等）、調(diào)用不同渠道的API發(fā)送通知給用戶（如SMTP協(xié)議發(fā)送郵件、HTTP協(xié)議發(fā)送微信或釘釘消息等）。通知器腳本會(huì)記錄發(fā)送結(jié)果和反饋情況，并更新MySQL數(shù)據(jù)庫(kù)中的訂閱狀態(tài)。

4.CVE前端

該模塊提供一個(gè)友好的cli終端命令，讓用戶可以查看、搜索、訂閱CVE信息。cve-ease的架構(gòu)設(shè)計(jì)，可通過打造高效、靈活、可擴(kuò)展的CVE信息平臺(tái)，為用戶提供及時(shí)準(zhǔn)確的安全漏洞情報(bào)服務(wù)。

截至目前， cve-ease項(xiàng)目共計(jì)輸出CVE排查文檔超5000個(gè)，應(yīng)對(duì)安全掃描報(bào)告上百次，累計(jì)覆蓋的CVE問題數(shù)量近2萬個(gè)。相較于之前的解決方案， cve-ease感知能力從7天降低至15分鐘，基于ease研發(fā)的一整套CVE處理方案可實(shí)現(xiàn)80%以上的自動(dòng)化效果，提升處理效率的同時(shí)大大降低人力成本。實(shí)踐證明，cve-ease能夠及時(shí)、高效、可靠地應(yīng)對(duì)漏洞安全問題，為自研系統(tǒng)提供了創(chuàng)新的漏洞安全解決方案，為企業(yè)的信息化建設(shè)和數(shù)字化轉(zhuǎn)型增添了新的動(dòng)力和價(jià)值。

面向未來，天翼云將與歐拉開源社區(qū)在現(xiàn)有合作基礎(chǔ)上，圍繞DPU卸載、全棧云原生、DPU操作系統(tǒng)、容器化操作系統(tǒng)等方面持續(xù)開展聯(lián)合創(chuàng)新，貢獻(xiàn)更多自研項(xiàng)目，以自主可控的天翼云數(shù)字底座，支撐更多開發(fā)者創(chuàng)新，服務(wù)千行百業(yè)數(shù)字化轉(zhuǎn)型。

xiesc