戴尔、惠普和联想的设备仍使用过时的OpenSSL加密库

据外媒11月25日报道，根据安全公司Binarly发现，戴尔、惠普和联想的设备仍在使用过时版本的OpenSSL加密库。研究发现，与联想Thinkpad企业设备相关的固件镜像使用了三个不同版本的OpenSSL：0.9.8zb、1.0.0a和1.0.2j，最后一个版本于2018年发布。报告指出，当涉及到编译代码时，迫切需要一个额外的SBOM验证层，以便在二进制层面上验证与供应商提供的实际SBOM相匹配的第三方依赖信息列表，trust-but-verif方法是处理SBOM故障和减少供应链风险的最佳方式。