安全性

安全公告

OPC基金會(huì)發(fā)布了影響其軟件維護(hù)或發(fā)行的安全公告。在多數(shù)情況下，這些公告會(huì)影響OPC供應(yīng)商并入其產(chǎn)品中的代碼。結(jié)果，供應(yīng)商將必須修補(bǔ)其產(chǎn)品以解決所發(fā)現(xiàn)的漏洞。

所有已發(fā)布的公告可以在這里找到。

Kaspersky Labs實(shí)驗(yàn)室的安全性分析

Kaspersky Labs于2017年5月10日發(fā)布了一份報(bào)告，確定了OPC基金會(huì)代碼中的17個(gè)零日漏洞。

? 可以在這里找到OPC基金會(huì)的官方回復(fù)。

? 可在此處找到漏洞的完整列表以及適當(dāng)CVE的引用。

? 當(dāng)提出這些問題時(shí)，可以在這里找到OPC基金會(huì)遵循的處理流程。

構(gòu)建OPC UA應(yīng)用程序的安全建議

!! 更新的v3可用！ 

OPC基金會(huì)成員和合作組織已發(fā)布的“實(shí)用安全建議”白皮書。

此處下載

德國(guó)信息安全局（BSI）的安全分析

BSI審查了OPC UA安全機(jī)制，并創(chuàng)建了一個(gè)評(píng)估報(bào)告。為此進(jìn)行了兩次分析：在項(xiàng)目的第一部分，對(duì)OPC UA的規(guī)范進(jìn)行了協(xié)議版本1.02的系統(tǒng)誤差分析。

該分析分為以下步驟：

? 對(duì)已經(jīng)進(jìn)行了調(diào)查的OPC UA的IT安全性進(jìn)行了分析

? 威脅分析（目標(biāo)和威脅分析，威脅和措施分析）

? 詳細(xì)分析OPC UA規(guī)范，重點(diǎn)強(qiáng)調(diào)了2、4、6、7和12部分

OPC基金會(huì)安全工作組對(duì)BSI報(bào)告中的調(diào)查結(jié)果進(jìn)行了評(píng)估，并采取了必要措施。雖然沒有發(fā)現(xiàn)重大缺陷，但這些措施有助于改善文件和實(shí)施。

OPC基金會(huì)的答復(fù)已經(jīng)插入原始的BSI報(bào)告。每個(gè)響應(yīng)都標(biāo)有[OPC-F]。

所有需要進(jìn)一步工作的問題都記錄在Mantis（OPC基金會(huì)問題報(bào)告工具）中。Mantis問題參考標(biāo)記為（Mantis #XXXX），其中XXX是Mantis中的參考號(hào)。

所有問題都計(jì)劃在OPC UA的ANSI-C堆棧中使用OPC UA（1.03.340版本）及下一個(gè)OPC UA規(guī)范（最有可能的版本1.04）來解決。

下載BSI報(bào)告與OPC基金會(huì)的回應(yīng)：

? 英語(yǔ)

? 德語(yǔ)