眾人之眼——開源軟件的安全狀況
開源社區最引以為豪的透明、公開、眾人參與等特性,也許很大程度上只是起到了掩飾開源生態系統中弱點的作用。那種人人以為開源才保持不間斷的警醒氛圍,實際上非常虛幻。
近期備受矚目的多個漏洞讓人開始懷疑“眾人之眼”的正確性,但也實實在在地推動了開源生態系統在安全性上的實質性進展。
若說世上有直面開源安全挑戰的標桿式人物,那可能得數維爾納·科赫——編寫了GnuPG并辛勤維護了這一開源軟件生態系統支柱18年的德國開發者。
自1999年初版發行以來,GnuPG已成為世界上應用最廣泛的開源安全工具之一,保護著每個人的電子郵件通信,從普通政府官員到愛德華·斯諾登。
不過,科赫發現自己最近幾年很難做到收支相抵。自2001年起大約年均2.5萬美元的捐款并不足以支撐他的工作。據獨立的非盈利新聞工作室ProPublica報道,這位53歲的開發者在愛德華·斯諾登的中情局泄密事件震驚全球之時幾乎已經游走在放棄GnuPG的邊緣了,但泄密事件反而令他決定迎難而上,繼續堅持下去。“我太理想主義了。”他說。
維爾納·科赫
這件事結局還不錯。ProPublica的報道出來后,全世界的捐贈者紛紛慷慨解囊援助科赫。他很容易就收到了比原定維持工作所需的13.7萬美元還多的捐款,讓他可以雇個兼職開發人員幫忙。Linux基金會的核心基礎設施計劃也給了他一筆6萬美元的一次性撥款。臉書和在線支付處理商Stripe都承諾每年給科赫的項目注資5萬美元。
資金不足的項目,就像之前的GnuPG一樣的,組成了空前龐大的開源生態系統的一部分。開源代碼的廣泛重用支撐著今天技術的飛速發展,但巨大的代碼量阻礙了安全審查。直到最近我們才開始直面這個問題,通常總在安全漏洞逼使業界采取行動之后。
碼農也是要吃飯的
讓科赫數年間處于困境的情況并不少見。
在谷歌研究員尼爾·梅塔揭示了OpenSSL組件的嚴重遠程利用漏洞“心臟滴血”后,軟件社區驚恐地發現這一項目很大程度上是Linux基金會執行理事吉姆·澤姆林所稱的“兩個名為史蒂夫的家伙”在負責。史蒂芬·亨森和史蒂夫·馬奎斯博士利用業余時間更新代碼,所得資金支持僅僅來自于每年幾千美元的自愿捐款。
倚賴開源的技術經銷商們很快介入,將OpenSSL項目導向正軌。給了GunPG的創造者6萬美元撥款的核心基礎設施計劃是幾個月前成立來資助亨森和其他人在OpenSSL上的工作的。財政支持由亞馬遜、Adobe、思科、臉書和谷歌等硅谷巨頭提供。
千萬人盯著也有眨眼的時候
心臟滴血不是第一個殺手級開源漏洞。比如說,在它之前一年的阿帕奇Struts漏洞的嚴重程度就至少跟它一樣。
不過,多虧了媒體炒作,心臟滴血可能永久性搞臭了埃里克·雷蒙德關于開源特性的名言:“只要有足夠的眼睛盯著,所有的漏洞都很表淺。”絕大多數安全專家認為這句話更多在激勵而非描述。
安全公司Sonatype首席技術官約書亞·柯曼說:“我從沒喜歡過‘眾人之眼’這個概念。‘很多眼球’并不意味著這些眼球都有足夠的動力和能力去看去發現安全漏洞。”
例如破殼漏洞。它的代碼被認為是經過仔細審查了的,但實際上根本不是那么回事。因為人人都假定它被人認真檢查過了,因此沒人再愿意去費力做重復工作。
當我們都傾向于假定開源代碼完整性很高的時候,Sonatype的數據卻揭示了相反的結果。這家公司對其托管代碼庫中開源組件的分析顯示,開源組件中已知漏洞的修復率僅為41%,柯曼在Usenix雜志《;login:》中寫道。而那些已修復的問題,平均修復時間是異常漫長的390天。
不過,即使拋開商業談論“開源”,專有軟件也是有誤導性的。開源軟件和專有軟件之間或許曾經涇渭分明,但時至今日大多數應用程序已變成第三方軟件組件集合體,所謂第三方,其中大多數來自開源項目。#p#
代碼安全為重中之重
該怎么做?不管怎樣,答案在很大程度上是文化意識上的。安全漏洞披露平臺HackerOne首席策略官和前微軟高級安全策略師凱蒂·墨索利斯說。“我們必須打造安全思維。這對每個軟件項目都很重要——無論是不是開源項目。”
墨索利斯的公司提供基于Web的平臺用以整合漏洞披露,手段還包括了漏洞賞金計劃。她提到,HackerOne已經向大量開源項目提供了漏洞賞金贊助,比如PHP、Ruby on Rails、Python和OpenSSL,他們為漏洞報告提供報酬。
開源項目需要對安全問題采取更為認真和系統化的方法,她說:“你至少得嘗試將安全構建進去。”
Sonatype的柯曼建議采用更為嚴格的解決方案:類似于以高品質和高責任感著稱的生產廠商所采用的供應鏈。
柯曼用福特生產線作為類比,說這家公司清楚其成車上每一塊部件的來源,問題可以被追溯至特定的供應商、設備,甚至生產批次。
然而,當今的軟件開發組織里,并沒有這樣的系統。幾乎每個商業軟件應用都利用了第三方公司出售的開源組件和專有組件,但軟件公司對所有這些代碼的品質和源頭可能只有個粗略的概念。通常,只有在遭遇了災難之后才會發現漏洞并感受到漏洞的威力。
比如說,Shellshock這個案例里,有問題的代碼可追溯到1989年,且影響了很多不同種類的應用——從基于CGI(公共網關接口)的網頁服務器到Qmail郵件服務器,到某些DHCP(動態主機配置協議)客戶端。針對這一漏洞的攻擊在漏洞曝光的數小時內就開始了。
跟著大咖走
孤兒項目(沒人照看缺乏維護的項目)和松懈的檢查不應該遮掩掉某些業界重要人物已踏上邁向安全代碼的良性道路的事實。
商業Linux公司,如Canonical、紅帽和谷歌,已在開源代碼安全性和完整性上大舉投入。有錢又親開源的公司,如網飛(Netflix)和臉書,也已將可觀的資源導向能改善開源代碼質量的項目了。
在Mozilla,據其工程經理賈森·迪爾稱,安全責任分屬三個團隊承擔。一個團隊在發現安全問題時對問題進行鑒別分類。第二個團隊對編譯代碼進行“模糊測試(黑盒測試以找出漏洞)”,第三個團隊則負責開發類似Mozilla內容安全策略的安全和隱私特性。
迪爾稱,早自6年前在他到Mozilla之前,模糊測試和對代碼的嚴格檢測就已成為Mozilla軟件開發文化的中流砥柱了。但隨著對開源威脅認識的加深,Mozilla也對其他開發慣例作出了調整。
“我們已經調整了各種各樣的開發慣例以適應敵人正緊盯我們公共代碼庫的每一次代碼提交這一事實。”迪爾說。舉個例子,Mozilla代碼的安全補丁在版本更新發布之前就著手在做了,給攻擊者留下更短的實施攻擊的窗口期。重大新特性在發布之前都需要經過安全團隊的審查。
在發行烏邦圖(Ubuntu)Linux的Canonical,一支快速壯大的安全團隊負責審計Canonical的代碼——總共3.5萬個通過各種渠道作為烏邦圖的一部分進行發布的軟件包。Canonical的云解決方案產品經理達斯汀·柯克蘭如此說道。
與Mozilla類似,Canonical的安全動作橫跨多個不同領域,從特性研發到代碼審查。針對柯曼的觀點,柯克蘭認為供應鏈風險是需要重點關注的問題。Canonical投入了大量資源評估與其核心操作系統捆綁的開源組件的可行性。
作為有20年開源經驗的老鳥以及20多個開源項目發布的維護者,柯克蘭說:“對于開源技術,我們關心的是直接采用它更好,還是復制然后開發并擴展它更好。”Canonical公司在選擇復制現有開源代碼時候遭到了來自開源社區內部的譴責,但柯克蘭認為復制恰是開源的一大優勢。
“我們不打算創建自己的OpenSSL和GPG。但擁有備選的加密庫非常重要。多樣性是必須的,尤其是在我們認識到其中一些組件是多么脆弱的時候。”
開源時代
走回頭路太痛苦了,所以專家們說,還是向前看吧。黑鴨子軟件公司開源戰略高級總監比爾·溫伯格職業生涯的很大一部分時間里,他都作為所謂的“信仰守護者”與來自如微軟之類的商業軟件廠商對開源運動的詆毀做斗爭。他說,曾經分隔“開源”與“閉源”的墻壁早在很久以前就被推倒了。
“已經沒有所謂的專有軟件這種東西了,因為幾乎所有軟件都或多或少地依賴于開源代碼。某種形式上,整個世界都進入了‘社區開發’軟件時代。”
“我真心認為這是大家共同的責任。只要想到我們大家有多依賴于那堆龐大的開源軟件,你就不由得希望安全問題成為大家共同的責任而不是將之留給Linux基金會和紅帽公司。”
換句話說,我們會對心臟滴血之類的漏洞咬牙切齒怒不可遏,但在2015年,所有生產、使用或倚賴軟件的公司都是事實上的開源軟件公司,無論他們自己有無意識到這一點。而這,令他們成為了開源安全問題及其解決方案的一部分。
原文地址:http://www.aqniu.com/news/7476.html
