对于开源安全所面临的挑战,如果说有一个代表人物的话,那应该是Werner Koch,这位德国开发人员编写了并在过去18年辛苦维持着Gnu Privacy Guard(GnuPG)——开源软件生态系统的支柱。
在1999年首次推出后,GnuPG成为世界上使用最广泛的开源安全工具之一,它保护着每个人的电子邮件通信。
然而,在最近几年,Koch艰难地维持着生计。自2001年以来,他平均每年会收到估计约25000美元,但这些钱不足以支持他的工作。
根据Pro Publica报告表示,这位53岁的开发人员差点就要放弃GnuPG,而后斯诺登泄露NSA文件震惊整个世界时,让Koch决定继续干下去,他表示:“我太理想主义了。”
这个故事有一个皆大欢喜的结局。在ProPublica报道发表后,全世界的捐助者都跑来支援Koch。他很快实现了原先设定的137000美元筹款目标,让他可以继续他的工作,还聘请了一位兼职开发人员。Koch还获得Linux基金会的核心基础设施倡议的6万美元一次性补助金,Facebook和在线支付处理商Stripe承诺每年提供5万美元支持Koch的项目。
GnuPG等资金不足的项目形成了规模空前的庞大开源生态系统。现在不断涌现的技术开发中广泛重复使用开源代码,而代码的巨大数量阻碍了安全检查。直到最近,我们才开始面对这个问题,通常在发生安全泄露事故后,行业才会开始采取行动。
代码能当饭吃吗?
Koch这样的情况并不少见。
在谷歌研究人员Neel Mehta发现Heartbleed(OpenSSL组件中严重的可远程利用的漏洞)后,让软件社区感到非常震惊的是,OpenSSL项目主要由Stephen Henson和Steve Marquess兼职在保持改代码的更新,该项目每年只有几千美元的自愿捐款补偿。
很多依靠开源技术的技术供应商很快就开始支援OpenSSL项目。核心基础设施倡议帮助为Henson等OpenSSL项目工作者提供资金。亚马逊、Adobe、思科、Facebook和谷歌也提供了资金支持。
众目睽睽,漏洞无匿?
Heartbleed并不是第一个杀手级开源代码漏洞。例如,Apache Struts漏洞比它早了近一年,也同样严重。
在媒体的狂热炒作下,Heartbleed可能已经开始让人们质疑Eric Raymond关于开源质量的著名格言:“众目睽睽,漏洞无匿。”大多数安全专家表示,这个概念比实际更理想化。
“我从来都不喜欢‘众目睽睽’的概念,”Sonatype公司首席技术官Joshua Corman表示,“‘众目睽睽’并不意味着这些眼睛在试图或者有资格去寻找安全漏洞。”
Black Duck Software公司开源战略高级主管Bill Weinberg表示,开源的“众目睽睽漏洞无匿”只是为了粉饰开源生态系统的缺陷,这意味着在那里并不存在时刻的警惕。
“对于Shellshock,并没有太多眼睛关注,”Weinberg在提到2014年Bash代码中发现的严重漏洞时表示,“该漏洞被认为经过很好的审核,但事实证明,它并没有那么安全,因为每个人都认为它经过严格审核。”
虽然我们可能喜欢假定开源代码具有很高的完整性,但Sonatype的数据显示了相反的结果。该公司对其托管代码库中开源组件的分析发现,开源组件中已知漏洞只有41%得到修复,而得到修复的问题,平均修复时间高达390天。
虽然在开源和专有软件项目之间曾经有一条分界线,但大多数现代应用程序都是第三方软件组件的组合,其中不乏很多开源软件。
认真对待代码级别的安全性
正确的响应是怎样?无论好坏,答案在很大程度上是文化,前微软高级战略家,现HackerOne公司首席策略官Katie Moussouris表示,“我们需要构建安全思维模式,这对每个软件项目(开源与否)都很重要。”
Moussouris的公司提供了一个基于Web的平台来协助漏洞披露,包括漏洞赏金计划。她指出,HackerOne已经针对很多开源项目提供漏洞赏金,包括PHP、Ruby on Rails、Python和OpenSSL,为漏洞披露提供奖金。
开源项目需要对安全采取更加认真和系统的方法,她说道:“你至少需要尝试构建安全。”
Sonatype公司的Corman主张采取更严格的解决方案:类似于生产厂家使用的供应链,同时提供高品质和问责制。
就拿福特生产线来说,该公司知道所有进入其成品汽车的部件的出处。问题可以追溯到特定供应商、设施,甚至生产环节。
然而,在现代软件开发企业,并没有这样的系统。几乎所有商业软件应用程序都在使用开源组件以及第三方公司出售的专有软件,但软件公司可能对代码的质量和出处只有粗略的概念。通常情况下,漏洞的范围和影响在灾难发生后才会知道。
例如,在Shellshock的情况下,有问题的代码可以追溯到1989年,并影响着广泛的应用程序,从基于CGI的网络服务器到Qmail电子邮件服务器,再到某些DHCP客户端。在该漏洞披露数小时后就出现针对该漏洞的攻击。
追随领导者
Canonical、Red Hat和谷歌等商业Linuc供应商已经投入巨资来确保开源的安全性和完整性。而Netflix和Facebook等开源友好型公司已经投入相当多的资源来帮助提高开源质量。
工程部经理Jason Duell表示,在Mozilla(+微信关注网络世界),安全责任被分给三个团队,一个团队负责对发现的安全问题进行分类,第二个团队对编译的代码进行黑盒测试以查找漏洞,而第三个团队则开发安全和隐私功能。
Duell表示,在六年前他加入这间公司之前,对已开发的代码进行严格的测试就已经是Mozilla的开发文化,但Mozilla已经更改了其他开发做法来应对不断增加的开源威胁。
Duell称:“我们意识到攻击者正在查看我们公众提交源代码库,于是我们改变了各种做法。”其中之一是,对Mozilla代码的安全补丁在发布前会进行审核,大量新功能让安全团队在发布代码前进行审计。
云计算解决方案产品经理Dustin Kirkland表示,在Canonical,一支快速增长的安全团队在审核Canonical的代码—总统35000软件包,通过各种渠道发布作为Ubuntu的一部分。
与Mozilla一样,Canonical的安全运营跨越多个不同的举措,从功能开发到代码审计。对于Corman的观点,Kirkland表示,供应链风险是一个主要问题。Canonical投入大量资源来评估开源组件的可靠性,这些开源组件被捆绑到其核心操作系统。
Kirkland表示:“对于开源技术,我们正在考虑应该部署它还是分拆它,然后开发和推广它。”当Canonical公司选择分拆现有开源代码时,该公司受到了抨击,但Kirkland指出分拆的能力是开源的优势之一。
“我们不打算创建自己版本的OpenSSL和GPG,”Kirkland表示,“但拥有加密库的替代品是非常重要的。这里需要多样性,尤其是在我们了解到这些组件多么容易受到攻击后。”
现在都是开源化
也许开源会带来不适,但专家称没有回头路可走。Weinberg的很大一部分职业生涯都是他所谓的“信仰捍卫者”,打击商业供应商(例如微软)抹黑开源运动的试图。他表示,“开源”和“闭源”之间的分隔墙很久以前就被推倒。
“现在没有专有软件这样的东西了,因为很少有软件不依赖开源,”他称,“整个世界已经以这样或那样的形式转向‘社区开发’的软件。”
“我真的认为这是一种共同的责任,”Kirkland说道,“当你考虑到我们所有人都在开源软件的整个堆栈中,你会希望安全成为一种共同责任,而不只是Linux基金会和Red Hat的责任。”
换句话说,Heartbleed等漏洞可能让我们咬牙切齿,但在2015年,所有制造、使用或依赖软件的公司都实际上是开源软件公司,无论他们知道与否。这使得他们成为问题及其解决方案的一部分。(邹铮译稿)