基础设施安全专家Eclypsium发布的一项新研究调查了 Linux 基金会开源OpenBMC™固件栈的各种实现方案的安全性。这份名为《OpenBMC 安全实践》的报告回顾了 OpenBMC 的灵活性、广泛应用以及漏洞管理方面的各种复杂性。Eclypsium 的报告还评估了不同供应商对 CVE 的处理方式和补丁实践,并最终指出AMI 公司的MegaRAC OneTree™是最佳解决方案。
为了得出结果,Eclypsium 从 OpenBMC 主 GitHub 代码库中获取了最新的 OpenBMC 厂商版本,包括 Intel® S2600WF、Dell™ R670csp、Supermicro® X14DBG-AP 和 MegaRAC OneTree(版本 2.0)。然后,他们记录了每个代码版本中存在的未公开 CVE 数量以及安全问题所在的相应区域。
虽然结果显示 MegaRAC OneTree 具有明显优势,但读者也应注意,在上游 OpenBMC 代码中发现的某些漏洞(被标记为影响 MegaRAC OneTree 的 CVE)已被 AMI 修复。此外,我们持续将修复措施直接应用于下游代码,并通过向客户分发更新的方式进行处理,这些更新将在下一个开源版本中合并到上游。因此,目前已知的 CVE 总数少于 Eclypsium 研究所发现的数量。
Eclypsium 的报告强调了在整个供应链中利用强大的软件物料清单 (SBOM) 方法进行漏洞管理、定期更新和透明度对于维护更安全的供应链的重要性。
如需了解更多关于我们基于 MegaRAC OneTree OpenBMC 的解决方案及其附加技术和增强功能的信息,请下载数据表或联系我们安排今天的讨论。
OpenBMC是LF Projects, LLC的商标。MegaRAC是AMI US Holdings, Inc.在美国和其他国家/地区的注册商标。Intel是Intel Corporation的注册商标。Dell Technologies、Dell和其他商标是Dell Inc.或其子公司的商标。Supermicro®是Super Micro Computer, Inc.的注册商标。所有其他商标和注册商标均为其各自所有者的财产。
