眾人之眼——開源軟件的安全狀況

責(zé)任編輯：editor007 作者：nana |來源：企業(yè)網(wǎng)D1Net 2015-04-27 17:38:39 本文摘自：安全牛

開源社區(qū)最引以為豪的透明、公開、眾人參與等特性，也許很大程度上只是起到了掩飾開源生態(tài)系統(tǒng)中弱點的作用。那種人人以為開源才保持不間斷的警醒氛圍，實際上非常虛幻。

眾人之眼——開源軟件的安全狀況

近期備受矚目的多個漏洞讓人開始懷疑“眾人之眼”的正確性，但也實實在在地推動了開源生態(tài)系統(tǒng)在安全性上的實質(zhì)性進展。

若說世上有直面開源安全挑戰(zhàn)的標(biāo)桿式人物，那可能得數(shù)維爾納·科赫——編寫了GnuPG并辛勤維護了這一開源軟件生態(tài)系統(tǒng)支柱18年的德國開發(fā)者。

自1999年初版發(fā)行以來，GnuPG已成為世界上應(yīng)用最廣泛的開源安全工具之一，保護著每個人的電子郵件通信，從普通政府官員到愛德華·斯諾登。

不過，科赫發(fā)現(xiàn)自己最近幾年很難做到收支相抵。自2001年起大約年均2.5萬美元的捐款并不足以支撐他的工作。據(jù)獨立的非盈利新聞工作室ProPublica報道，這位53歲的開發(fā)者在愛德華·斯諾登的中情局泄密事件震驚全球之時幾乎已經(jīng)游走在放棄GnuPG的邊緣了，但泄密事件反而令他決定迎難而上，繼續(xù)堅持下去。“我太理想主義了。”他說。

眾人之眼——開源軟件的安全狀況

　　維爾納·科赫

這件事結(jié)局還不錯。ProPublica的報道出來后，全世界的捐贈者紛紛慷慨解囊援助科赫。他很容易就收到了比原定維持工作所需的13.7萬美元還多的捐款，讓他可以雇個兼職開發(fā)人員幫忙。Linux基金會的核心基礎(chǔ)設(shè)施計劃也給了他一筆6萬美元的一次性撥款。臉書和在線支付處理商Stripe都承諾每年給科赫的項目注資5萬美元。

資金不足的項目，就像之前的GnuPG一樣的，組成了空前龐大的開源生態(tài)系統(tǒng)的一部分。開源代碼的廣泛重用支撐著今天技術(shù)的飛速發(fā)展，但巨大的代碼量阻礙了安全審查。直到最近我們才開始直面這個問題，通常總在安全漏洞逼使業(yè)界采取行動之后。

碼農(nóng)也是要吃飯的

讓科赫數(shù)年間處于困境的情況并不少見。

在谷歌研究員尼爾·梅塔揭示了OpenSSL組件的嚴(yán)重遠(yuǎn)程利用漏洞“心臟滴血”后，軟件社區(qū)驚恐地發(fā)現(xiàn)這一項目很大程度上是Linux基金會執(zhí)行理事吉姆·澤姆林所稱的“兩個名為史蒂夫的家伙”在負(fù)責(zé)。史蒂芬·亨森和史蒂夫·馬奎斯博士利用業(yè)余時間更新代碼，所得資金支持僅僅來自于每年幾千美元的自愿捐款。

倚賴開源的技術(shù)經(jīng)銷商們很快介入，將OpenSSL項目導(dǎo)向正軌。給了GunPG的創(chuàng)造者6萬美元撥款的核心基礎(chǔ)設(shè)施計劃是幾個月前成立來資助亨森和其他人在OpenSSL上的工作的。財政支持由亞馬遜、Adobe、思科、臉書和谷歌等硅谷巨頭提供。

千萬人盯著也有眨眼的時候

心臟滴血不是第一個殺手級開源漏洞。比如說，在它之前一年的阿帕奇Struts漏洞的嚴(yán)重程度就至少跟它一樣。

不過，多虧了媒體炒作，心臟滴血可能永久性搞臭了埃里克·雷蒙德關(guān)于開源特性的名言：“只要有足夠的眼睛盯著，所有的漏洞都很表淺。”絕大多數(shù)安全專家認(rèn)為這句話更多在激勵而非描述。

眾人之眼——開源軟件的安全狀況

安全公司Sonatype首席技術(shù)官約書亞·柯曼說：“我從沒喜歡過‘眾人之眼’這個概念。‘很多眼球’并不意味著這些眼球都有足夠的動力和能力去看去發(fā)現(xiàn)安全漏洞。”

例如破殼漏洞。它的代碼被認(rèn)為是經(jīng)過仔細(xì)審查了的，但實際上根本不是那么回事。因為人人都假定它被人認(rèn)真檢查過了，因此沒人再愿意去費力做重復(fù)工作。

當(dāng)我們都傾向于假定開源代碼完整性很高的時候，Sonatype的數(shù)據(jù)卻揭示了相反的結(jié)果。這家公司對其托管代碼庫中開源組件的分析顯示，開源組件中已知漏洞的修復(fù)率僅為41%，柯曼在Usenix雜志《;login:》中寫道。而那些已修復(fù)的問題，平均修復(fù)時間是異常漫長的390天。

不過，即使拋開商業(yè)談?wù)?ldquo;開源”，專有軟件也是有誤導(dǎo)性的。開源軟件和專有軟件之間或許曾經(jīng)涇渭分明，但時至今日大多數(shù)應(yīng)用程序已變成第三方軟件組件集合體，所謂第三方，其中大多數(shù)來自開源項目。

[page]

代碼安全為重中之重

該怎么做?不管怎樣，答案在很大程度上是文化意識上的。安全漏洞披露平臺HackerOne首席策略官和前微軟高級安全策略師凱蒂·墨索利斯說。“我們必須打造安全思維。這對每個軟件項目都很重要——無論是不是開源項目。”

墨索利斯的公司提供基于Web的平臺用以整合漏洞披露，手段還包括了漏洞賞金計劃。她提到，HackerOne已經(jīng)向大量開源項目提供了漏洞賞金贊助，比如PHP、Ruby on Rails、Python和OpenSSL，他們?yōu)槁┒磮蟾嫣峁﹫蟪辍?/p>

開源項目需要對安全問題采取更為認(rèn)真和系統(tǒng)化的方法，她說：“你至少得嘗試將安全構(gòu)建進去。”

Sonatype的柯曼建議采用更為嚴(yán)格的解決方案：類似于以高品質(zhì)和高責(zé)任感著稱的生產(chǎn)廠商所采用的供應(yīng)鏈。

柯曼用福特生產(chǎn)線作為類比，說這家公司清楚其成車上每一塊部件的來源，問題可以被追溯至特定的供應(yīng)商、設(shè)備，甚至生產(chǎn)批次。

然而，當(dāng)今的軟件開發(fā)組織里，并沒有這樣的系統(tǒng)。幾乎每個商業(yè)軟件應(yīng)用都利用了第三方公司出售的開源組件和專有組件，但軟件公司對所有這些代碼的品質(zhì)和源頭可能只有個粗略的概念。通常，只有在遭遇了災(zāi)難之后才會發(fā)現(xiàn)漏洞并感受到漏洞的威力。

比如說，Shellshock這個案例里，有問題的代碼可追溯到1989年，且影響了很多不同種類的應(yīng)用——從基于CGI(公共網(wǎng)關(guān)接口)的網(wǎng)頁服務(wù)器到Qmail郵件服務(wù)器，到某些DHCP(動態(tài)主機配置協(xié)議)客戶端。針對這一漏洞的攻擊在漏洞曝光的數(shù)小時內(nèi)就開始了。

跟著大咖走

孤兒項目(沒人照看缺乏維護的項目)和松懈的檢查不應(yīng)該遮掩掉某些業(yè)界重要人物已踏上邁向安全代碼的良性道路的事實。

商業(yè)Linux公司，如Canonical、紅帽和谷歌，已在開源代碼安全性和完整性上大舉投入。有錢又親開源的公司，如網(wǎng)飛(Netflix)和臉書，也已將可觀的資源導(dǎo)向能改善開源代碼質(zhì)量的項目了。

在Mozilla，據(jù)其工程經(jīng)理賈森·迪爾稱，安全責(zé)任分屬三個團隊承擔(dān)。一個團隊在發(fā)現(xiàn)安全問題時對問題進行鑒別分類。第二個團隊對編譯代碼進行“模糊測試(黑盒測試以找出漏洞)”，第三個團隊則負(fù)責(zé)開發(fā)類似Mozilla內(nèi)容安全策略的安全和隱私特性。

迪爾稱，早自6年前在他到Mozilla之前，模糊測試和對代碼的嚴(yán)格檢測就已成為Mozilla軟件開發(fā)文化的中流砥柱了。但隨著對開源威脅認(rèn)識的加深，Mozilla也對其他開發(fā)慣例作出了調(diào)整。

“我們已經(jīng)調(diào)整了各種各樣的開發(fā)慣例以適應(yīng)敵人正緊盯我們公共代碼庫的每一次代碼提交這一事實。”迪爾說。舉個例子，Mozilla代碼的安全補丁在版本更新發(fā)布之前就著手在做了，給攻擊者留下更短的實施攻擊的窗口期。重大新特性在發(fā)布之前都需要經(jīng)過安全團隊的審查。

在發(fā)行烏邦圖(Ubuntu)Linux的Canonical，一支快速壯大的安全團隊負(fù)責(zé)審計Canonical的代碼——總共3.5萬個通過各種渠道作為烏邦圖的一部分進行發(fā)布的軟件包。Canonical的云解決方案產(chǎn)品經(jīng)理達(dá)斯汀·柯克蘭如此說道。

與Mozilla類似，Canonical的安全動作橫跨多個不同領(lǐng)域，從特性研發(fā)到代碼審查。針對柯曼的觀點，柯克蘭認(rèn)為供應(yīng)鏈風(fēng)險是需要重點關(guān)注的問題。Canonical投入了大量資源評估與其核心操作系統(tǒng)捆綁的開源組件的可行性。

作為有20年開源經(jīng)驗的老鳥以及20多個開源項目發(fā)布的維護者，柯克蘭說：“對于開源技術(shù)，我們關(guān)心的是直接采用它更好，還是復(fù)制然后開發(fā)并擴展它更好。”Canonical公司在選擇復(fù)制現(xiàn)有開源代碼時候遭到了來自開源社區(qū)內(nèi)部的譴責(zé)，但柯克蘭認(rèn)為復(fù)制恰是開源的一大優(yōu)勢。

“我們不打算創(chuàng)建自己的OpenSSL和GPG。但擁有備選的加密庫非常重要。多樣性是必須的，尤其是在我們認(rèn)識到其中一些組件是多么脆弱的時候。”

開源時代

走回頭路太痛苦了，所以專家們說，還是向前看吧。黑鴨子軟件公司開源戰(zhàn)略高級總監(jiān)比爾·溫伯格職業(yè)生涯的很大一部分時間里，他都作為所謂的“信仰守護者”與來自如微軟之類的商業(yè)軟件廠商對開源運動的詆毀做斗爭。他說，曾經(jīng)分隔“開源”與“閉源”的墻壁早在很久以前就被推倒了。

“已經(jīng)沒有所謂的專有軟件這種東西了，因為幾乎所有軟件都或多或少地依賴于開源代碼。某種形式上，整個世界都進入了‘社區(qū)開發(fā)’軟件時代。”

“我真心認(rèn)為這是大家共同的責(zé)任。只要想到我們大家有多依賴于那堆龐大的開源軟件，你就不由得希望安全問題成為大家共同的責(zé)任而不是將之留給Linux基金會和紅帽公司。”

換句話說，我們會對心臟滴血之類的漏洞咬牙切齒怒不可遏，但在2015年，所有生產(chǎn)、使用或倚賴軟件的公司都是事實上的開源軟件公司，無論他們自己有無意識到這一點。而這，令他們成為了開源安全問題及其解決方案的一部分。

原文地址：http://www.aqniu.com/news/7476.html

關(guān)鍵字：開源谷歌開源項目