戴尔等设备固件存在过时OpenSSL加密库，曝供应链安全问题

最近的网络安全研究中，对戴尔、惠普、联想等设备的固件映像进行的分析显示，其中存在过时版本的 OpenSSL 加密库，这凸显了软件供应链的安全风险。

根据中国网络安全行业门户极牛网(GeekNB.com)的梳理，EFI Development Kit，又名EDK ，是统一可扩展固件接口 ( UEFI )的开源实现，用作操作系统和设备硬件中嵌入的固件之间的接口。

处于第二次迭代 (EDK II) 的固件开发环境带有自己的名为 CryptoPkg 的加密包，而后者又利用了 OpenSSL 项目的服务。与联想 Thinkpad 企业设备相关的固件映像被发现使用三个不同版本的 OpenSSL：0.9.8zb、1.0.0a 和 1.0.2j，最后一个版本于 2018 年发布。

此外，其中一个名为 InfineonTpmUpdateDxe 的固件模块依赖于 2014 年 8 月 4 日发布的 OpenSSL 版本 0.9.8zb。InfineonTpmUpdateDxe 模块负责更新Infineon 芯片上可信平台模块 ( TPM ) 的固件。

本事件表明了第三方依赖项的软件供应链安全问题，当这些依赖项看起来从未收到更新时，即使是对于关键的安全问题也是如此。

撇开 OpenSSL 版本的多样性不谈，联想和戴尔的一些固件包使用了更旧的版本 0.9.8l，该版本于 2009 年 11 月 5 日发布。惠普的固件代码同样使用了 10 年前的版本 0.9.8w。设备固件在同一个二进制包中使用多个版本的 OpenSSL 这一事实凸显了第三方代码依赖性如何在供应链生态系统中引入更多复杂性。

所谓的软件物料清单 ( SBOM ) 中的漏洞，这些漏洞是由于在固件中集成编译的二进制模块（也称为封闭源代码）而产生的。当涉及到编译代码以在二进制级别进行验证时，我们发现迫切需要额外的 SBOM 验证层，即与供应商提供的实际 SBOM 相匹配的第三方依赖信息列表。