马斯克曾在一个多月前表示将在收购 Twitter 后开源 Twitter 的算法,以提高平台透明度。这一决策不可避免的引起了各方激烈讨论,安全领域的专家们对开源算法是否会对安全产生一些净积极影响也存在着分歧。
一些批评人士指出,马斯克将 Twitter 开源的想法可能会凸显该网站的 Log4Shell 和 Spring4Shell
级别的漏洞。但支持者则认为,这一决定甚至可以增强平台的安全性。
外媒 VentureBeat 将马斯克开源 Twitter 算法可能造成影响进行了梳理。其中,可能导致的坏处在于或将为攻击者提供更多的切入机会:将代码开源的最大安全风险之一是它为威胁参与者提供了分析其安全漏洞的机会。
Vulcan Cyber 的高级技术工程师 Mike Parkin 表示,“开放 Twitter 的推荐算法是一把双刃剑。虽然更多地关注代码可以提高安全性,但它也为恶意研究人员打开了大门,以获得他们通常无法获得的洞察力”。并指出,开放推荐算法可能会使 "虚假信息" 在平台上进一步传播。
另一方面,持赞成态度的人则认为开源算法的好处在于可以提高透明度以减轻漏洞。一些分析师和安全专家表示,增加平台的透明度是具有积极意义的,因为它允许平台的用户群有机会在漏洞管理中发挥作用。与 Twitter 拥有一个管理漏洞的小型研究团队不同,开源代码可能会让平台获得来自数千名用户的支持,这些用户可以帮助提高平台的安全性和完整性。
Bugcrowd 创始人兼 CTO 认为,在发现软件漏洞时,对源代码的访问是很关键的;“由内而外”
的视图总是比只从外向内观察形成的视图更有用和更完整。“我们一直可以在众包安全测试中看到这一点,而 Twitter 的安全优势将是来自人群对需要修复的问题的更彻底的反馈。”
并补充道,虽然此举确实为攻击者提供了识别漏洞的机会,但安全影响是正面还是负面最终还是将取决于 Twitter 投资漏洞信息并在漏洞被利用之前修复漏洞的能力。
虽然目前尚不清楚开源算法将产生什么影响,但组织可以采取一些简单的步骤来帮助降低风险。Synopsys Software Integrity Group 首席安全策略师 Tim Mackey 建议,开源治理计划将有助于有效应对风险。“企业可以通过识别哪些开源组件为 Twitter 开源技术提供动力,然后为它们实施开源治理计划来减轻部分风险。这样的计划将主动监控这些组件的新漏洞披露,并使企业能够对风险变化做出快速反应。这类似于一些企业用来尽量减少对 Log4Shell 漏洞的暴露的 proactive model。”
Mackey 建议企业为支持 Twitter 技术的开源组件实施开源治理计划,主动监控新的漏洞披露,以便安全团队准备好应对这些漏洞。
本文转自OSCHINA
本文标题:开源推特算法有哪些安全风险?
本文地址:https://www.oschina.net/news/197827/open-source-twitter-security-risks