風河認為，安全性根植于我們的DNA深處。這是我們近40年來在關鍵任務系統(tǒng)中無盡遺產的組成部分，融匯于我們提供的所有技術之中，幫助我們的客戶開發(fā)出可靠且值得信賴的解決方案。我們極致重視安全性，正因為如此，最近在TCP/IP（IPnet））網(wǎng)絡堆棧中發(fā)現(xiàn)并被強調為“緊急（Urgent）”的11項漏洞，反而更進一步凸顯了迄今為止最安全的實時操作系統(tǒng)--VxWorks。

　　這些漏洞是被網(wǎng)絡安全公司Armis發(fā)現(xiàn)的。通過互動順暢的“負責任披露（Responsible Disclosure）”模式，風河公司專設的安全事件響應團隊與Armis密切合作，確�？蛻裟軌颢@得通知和所需的補救/補丁。這一共享與協(xié)作的流程旨在幫助設備制造商降低其用戶的任何潛在風險。我們感謝Armis在發(fā)現(xiàn)這些漏洞的過程中為大家所做的一切。

　　作為世界上應用最廣泛、最值得信賴的實時操作系統(tǒng)（RTOS）的供應商，以及領先技術企業(yè)的一員，我們有責任建立一個縝密的安全響應流程。我們的客戶在許多方面都信賴我們，這便是其中原因之一。

　　IPnet網(wǎng)絡棧是VxWorks某些版本的組件之一，包括生命周期已經(jīng)結束（EOL）的6.5版本。具體來說，有些互聯(lián)設備采用的是較老標準版本的VxWorks，其中包含的IPnet堆棧受到了一個或多個已發(fā)現(xiàn)漏洞的影響。最新版本的VxWorks不會受這些漏洞的影響。

　　風河公司的安全關鍵產品（如VxWorks 653和VxWorks CERT版本）原本的設計目標就具備通過認證的水平，因此也不會受到任何影響。非常重要的一點是，應該注意到，并不是所有發(fā)現(xiàn)的漏洞都存在于每一個產品之中。有關受影響/未受影響版本的完整詳細信息，請參見安全咨詢信息。

　　這些受影響的設備在我們客戶群中只占一小部分，主要存在于企業(yè)設備之中，被部署在網(wǎng)絡周邊面對互聯(lián)網(wǎng)的部位，如調制解調器、路由器和打印機，以及一些工業(yè)和醫(yī)療設備。

　　在這11個漏洞中，有6個是Remote Code Execution（RCE，遠程代碼執(zhí)行）漏洞；在這6個漏洞中，有4個可以通過一個簡單的防火墻規(guī)則予以緩解。到目前為止，沒有跡象表明這11個漏洞已造成后果。

　　這些漏洞并不是風河軟件獨有的。2006年，風河通過收購Interpeak獲得了IPnet Stack。在此項收購之前，這個堆棧已經(jīng)被廣泛授權給許多其他RTOS供應商并由其部署在應用中。

　　在代碼中找到漏洞是非常困難的，而且有些人會以您沒有預料到的方式對這些代碼發(fā)起攻擊。實際上，安全漏洞在未被發(fā)現(xiàn)的情況下運行很多年，這并非十分罕見的情況。這樣的實例有很多：Spectre/Meltdown 就曾經(jīng)存在于數(shù)十家制造商生產的數(shù)百萬個處理器中，使用了十多年之后才被發(fā)現(xiàn)；OpenSSL漏洞，例如HeartBleed也暗藏了很多年。事實上，現(xiàn)代軟件系統(tǒng)非常復雜，功能非常豐富，多年來編寫的大量代碼，不斷提高對安全編程的認識，并不斷提高審查水平。

　　以下VxWorks內置的安全特性可用于建構一個強大的系統(tǒng)，并且可以對已經(jīng)發(fā)現(xiàn)的IPnet漏洞做出防護：

VxWorks安全特性	原則	類別	實現(xiàn)
不可執(zhí)行堆棧	可用性	侵入防護	惡意軟件防護
實時進程	保密性	隔離	分區(qū)
系統(tǒng)調用訪問控制	可用性	白名單	訪問控制
任務堆棧溢出/不足	可用性	侵入防護	惡意軟件防護
防火墻	可用性	侵入防護	防火墻
確定性內存使用	可用性	對策	證明

　　要定義一套完整的安全策略，就必須對客戶的系統(tǒng)進行全面審核。

　　《國土安全》有文章*指出，“任何組織機構都不能依靠單一對策來解決全部安全問題。”美國國家安全局下屬的信息保護署（Information Assurance Directorate）也有文章*指出，“不幸的是，將一個SKPP認證的內核作為系統(tǒng)組成部分，并不能立即使系統(tǒng)在整體上具備高度的穩(wěn)健性。”簡單來說，僅僅依賴單個組件，這是一種失敗的安全策略。

　　雖然沒有任何軟件能夠抵御零時差攻擊（Zero-Day Vulnerabilities），但客戶可以應用風河公司的軟件來構建他們的可信賴系統(tǒng)。我們的產品發(fā)布流程極為嚴格，包括回歸/網(wǎng)絡測試、靜態(tài)分析和惡意軟件掃描。我們的CVE監(jiān)控/評估，再加上安全服務產品，可以確保最初部署的就是最堅固的系統(tǒng)，而且在該系統(tǒng)的整個生命周期內提供維護。我們還得到了由Armis等公司組成的強大安全生態(tài)系統(tǒng)的支持。

　　我們的解決方案與服務可滿足安全硬件和軟件的全部需求，足以保障設備之間以及跨系統(tǒng)的通信，為它們提供長期的防護，以及快速的反應，使它們免于收到隨時出現(xiàn)的新威脅。而且，我們的開發(fā)流程和安全功能可以滿足許多行業(yè)的嚴格要求。

　　關于IPnet漏洞的更多詳細信息，包括安全咨詢和補丁信息，請參見 Wind River Security Alert ，呈現(xiàn)于 Wind River Security Center. 您也可通過 Wind River Support 提出您的任何問題。

　　一如既往，風河隨時準備幫助我們的客戶，確保其設備和系統(tǒng)的安全。