收集開源項(xiàng)目統(tǒng)計(jì)數(shù)據(jù)的黑鴨子軟件預(yù)測(cè):隨著商業(yè)應(yīng)用和本土應(yīng)用中越來越普遍地使用開源代碼,今年針對(duì)開源代碼漏洞的攻擊數(shù)量將增加20%。
黑鴨子的安全戰(zhàn)略副總裁邁克·皮滕杰表示,商業(yè)應(yīng)用半數(shù)以上是免費(fèi)的,而其中開源軟件的比例從2011年底的3%上升到現(xiàn)在的33%。
每個(gè)商業(yè)應(yīng)用平均使用100個(gè)開源模塊,2/3的商業(yè)應(yīng)用所用的開源代碼存在已知漏洞。
最糟糕的是,消費(fèi)者幾乎不可能知道所購(gòu)買的軟件使用了哪些開源模塊。
皮滕杰說:“通常情況下,公司是很保守的。他們?yōu)榭蛻籼峁┑哪K列表也往往不完整。然而如果你未經(jīng)開發(fā)商許可就檢測(cè)軟件的源代碼,你很有可能會(huì)違反許可協(xié)議,并卷入各種麻煩。”
一些大規(guī)模購(gòu)買某應(yīng)用的企業(yè)可能有渠道要求開發(fā)商提供完整的開源模塊信息,并通過黑鴨子等第三方軟件對(duì)其進(jìn)行檢測(cè)。
皮滕杰指出,開發(fā)者們不可能不使用開源代碼。很多開源代碼庫(kù)已經(jīng)成為了行業(yè)規(guī)范,而重新編寫同樣功能的代碼會(huì)很耗時(shí)間,這會(huì)延后應(yīng)用投入市場(chǎng)的時(shí)間并傷害公司的競(jìng)爭(zhēng)力。
全球IT和網(wǎng)絡(luò)安全專家聯(lián)盟ISACA的戰(zhàn)略引導(dǎo)和研究主任埃德·莫伊爾說,同樣的邏輯也適用于企業(yè)自行研發(fā)的軟件。
他說:“開發(fā)中的項(xiàng)目可以獲得開源社區(qū)足夠的支持,這帶來了可靠的安全性和功能更新。對(duì)于特定情況,開源意味著可以對(duì)代碼庫(kù)進(jìn)行審計(jì)這一安全優(yōu)勢(shì),以及大量定制軟件的能力。有一個(gè)好的經(jīng)驗(yàn)性原則是,如果你需要一個(gè)商業(yè)工具實(shí)現(xiàn)某種功能,你很可能可以找到一個(gè)有類似功能的開源工具。”
然而,檢查開源代碼中的漏洞的“百眼巨人”并不總是醒著。
AlienVault的安全顧問賈瓦德·馬利克說:“人人都能對(duì)代碼進(jìn)行安全審計(jì),所以人人都以為別人會(huì)這么干,最終沒一個(gè)人有實(shí)際行動(dòng)。這才是出現(xiàn)安全問題的根源。”
因此,對(duì)快速增長(zhǎng)的開源模塊的管理是一個(gè)非常棘手的問題,不巧,不懷好意的人們也意識(shí)到了這一點(diǎn)。
開源代碼是無處不在,所以攻擊者可以找到擁有相同漏洞的大量目標(biāo)。同時(shí),因?yàn)閷?duì)開源代碼的追蹤困難,且用戶經(jīng)常不安裝安全補(bǔ)丁和更新,因此黑客可以用已公開的漏洞利用手段對(duì)已知漏洞和展開攻擊。
物聯(lián)網(wǎng)的增長(zhǎng)也成為了去年主要的安全問題之一,而專家預(yù)測(cè)這一問題還將持續(xù)發(fā)酵。
馬利克指出:“智能設(shè)備以及整個(gè)物聯(lián)網(wǎng)中大量使用的開源代碼,正是Marai僵尸網(wǎng)絡(luò)的禍根。”
“開發(fā)人員通常不檢查開源代碼是否存在漏洞,即使有所懷疑也往往迫于最后交付時(shí)限的壓力而倉(cāng)促使用。所以一方面未經(jīng)修補(bǔ)的漏洞隨處可見,另一方面開發(fā)人員即使知道開源代碼含有漏洞,卻仍在此基礎(chǔ)上編寫新代碼。”
皮滕杰表示,商業(yè)應(yīng)用軟件中的漏洞平均存在五年才得以修復(fù)。
2014年初,開源SSL庫(kù)中的心臟出血漏洞被高調(diào)公布。但是截止至去年,10%的受檢測(cè)的應(yīng)用中還存有該漏洞。
另外,每年都有2000到4000個(gè)的新的開源代碼中的漏洞被發(fā)現(xiàn)。
要解決這一問題需要軟件供應(yīng)商和客戶的共同行動(dòng),以及企業(yè)軟件開發(fā)人員對(duì)安全的重視。但是在所有努力取得成效之前,情況很可能會(huì)變得更糟。
京公網(wǎng)安備 11010502049343號(hào)