安全性一直是 OpenSIPS 开发过程中至关重要的环节。作为一款应用于生产 SIP 基础设施的项目,OpenSIPS 需要在各种部署环境中保持稳定、可靠和安全。
近期,我们收到了大量针对 OpenSIPS 代码库的安全报告。这符合开源安全研究领域的一个大趋势,即越来越多地使用人工智能辅助工具、静态分析和自动化工作流程来识别软件项目中的潜在问题。
OpenSIPS也不例外。仅在过去两周内,就出现了以下情况:
- 已收到、审查和分析30 份安全报告
- 24 次提交专门用于安全修复和相关加固
- 针对受影响版本发布了12 项安全公告
- 已确认的漏洞被分配了6 个 CVE 编号
- 已发布包含相关修复程序的OpenSIPS 版本 1。
近期一系列安全报告
过去两周,我们收到了大量针对 OpenSIPS 代码库的安全报告:一位研究人员提交了 19 份报告,另一位研究人员提交了 5 份,还有一位研究人员提交了 6 份。其中一些报告内容有所重叠,一些报告从不同角度描述了类似的问题,还有一些报告经调查后发现问题并不严重。
尽管如此,我们仍然对每份报告进行审核、验证和分类,以了解其实际影响、受影响的代码路径以及触发该问题所需的条件。一旦确认存在问题,我们会优先修复,并努力尽快将其发布到所有维护的 OpenSIPS 版本中。
安全修复不会被推迟或视为次要工作。无论问题是关键性的、配置相关的,还是主要涉及鲁棒性改进,我们都会以生产环境 SIP 基础设施项目应有的重视程度和紧迫感来处理。
负责任且及时的披露
对于每份相关报告,我们都遵循一个清晰的流程:验证问题,尽可能重现问题,评估影响,准备修复程序,在需要时将其移植到维护的版本中,并发布需要公开披露的问题的公告。
这使我们能够快速而负责地采取行动。安全修复需要及时,但也必须准确可靠。
解读这些报告也至关重要。安全报告并不意味着所有 OpenSIPS 部署都存在漏洞。许多问题取决于特定的配置、加载的模块或流量场景。我们的职责是仔细分析每份报告,修复需要修复的问题,并在用户需要采取行动时清晰地告知他们。
致谢
我们要感谢那些抽出时间分析 OpenSIPS 并负责任地报告其研究结果的研究人员和安全团队:
- 来自Enable Security 的Sandro Gauci和Alfred Farrugia
- 来自Talence Security的Tristan Madani
- 来自Stella的Haruto Kimura
他们的报告和协作帮助我们识别、验证并解决了 OpenSIPS 代码库中的多个问题。我们感谢他们在整个披露过程中所做出的贡献和进行的建设性沟通。
展望未来
OpenSIPS始终坚定致力于安全、稳定和透明。
最近的修复是项目持续维护和加固工作的一部分。随着安全研究的不断发展和新工具的出现,我们预计会出现更多报告,我们将以同样的优先级和关注度来处理它们。
我们欢迎与安全社区进一步合作,并鼓励任何发现潜在问题的人负责任地进行报告。
安全是一个持续的过程,在 OpenSIPS 中,安全被视为优先事项。
原文:https://blog.opensips.org/2026/05/21/recent-security-fixes-in-opensips/
版权声明:本文内容转自互联网,本文观点仅代表作者本人。本站仅提供信息存储空间服务,所有权归原作者所有。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至1393616908@qq.com 举报,一经查实,本站将立刻删除。
