開源：好處與風(fēng)險(xiǎn)并存

2015-06-26 11:30:32 安全牛　點(diǎn)擊量：評(píng)論 (0)

開源現(xiàn)在已是IT行業(yè)勢(shì)力龐大的一支生力軍，它免費(fèi)、開放、可定制、受整個(gè)社區(qū)的監(jiān)督。鑒于開源在IT界的地位和影響力，任何關(guān)于其價(jià)值的大討論已經(jīng)沒有必要。當(dāng)源代碼向全世界開放，你將會(huì)被多雙眼睛檢查同一配置

開源現(xiàn)在已是IT行業(yè)勢(shì)力龐大的一支生力軍，它免費(fèi)、開放、可定制、受整個(gè)社區(qū)的監(jiān)督。鑒于開源在IT界的地位和影響力，任何關(guān)于其價(jià)值的大討論已經(jīng)沒有必要。

“當(dāng)源代碼向全世界開放，你將會(huì)被多雙眼睛檢查同一配置。因而，一旦發(fā)現(xiàn)問題，代碼擁有者也可以更快地進(jìn)行修復(fù)。”

好處與風(fēng)險(xiǎn)

但另一方面，這些好處卻也是風(fēng)險(xiǎn)的來(lái)源。一些安全和法律界專家，盡管總體上認(rèn)可開源的好處，卻依然不斷地警告各類組織和個(gè)人：開源并不完美，也許并不適合所有人。

開源的優(yōu)點(diǎn)同時(shí)也是風(fēng)險(xiǎn)的根源。很明顯，如果代碼里的漏洞每個(gè)人都可見，那么罪犯也可以看到。而且即使百萬(wàn)雙眼睛盯著開源代碼也并不能保證每個(gè)漏洞都能被發(fā)現(xiàn)并補(bǔ)上。

“有種說(shuō)法稱開源軟件由于其開放性和‘有百萬(wàn)雙眼睛檢查源代碼’而天生更安全。這種說(shuō)法已經(jīng)被諸如心臟滴血和其他一些漏洞徹底打臉。”（Accuvant解決方案研究主管拉法爾·洛斯）

而KNOS項(xiàng)目共同創(chuàng)始人兼主要架構(gòu)師凱文·邁克李維就略帶嘲諷地將開源稱之為“開傷”（Open Sores）。

“開源將源代碼公布，許多雙眼睛宣稱將檢查它，因而任何可能的不良代碼都逃不脫眾人之眼。然而，心臟滴血出現(xiàn)了。自2012年2月發(fā)布之日起，這段有問題的代碼就一直暴露在‘眾人之眼’前，但沒有任何一個(gè)人發(fā)現(xiàn)它，直到兩年之后，漏洞都被利用濫了才忽然醒悟。”

另一個(gè)例子是GNTTLS里的“Ghost”漏洞利用，漏洞可追溯到2005年，但直到去年才被發(fā)現(xiàn)。然后是，大名鼎鼎的Bash shell，同樣是公開源代碼，同樣是被眾人之眼監(jiān)督，而且歷史都可追溯到1989年，照樣潛藏了破殼（Shellshock）漏洞。這是因?yàn)榘偃f(wàn)雙眼睛并不意味著所有這些眼睛都有發(fā)現(xiàn)漏洞的能力。

首先，開源社區(qū)檢查過(guò)的代碼根本談不上認(rèn)證。再者代碼開放給所有人，并不意味著大家都能理解代碼實(shí)際上干了什么，或者，干錯(cuò)了什么。最后，即使漏洞被發(fā)現(xiàn)，補(bǔ)丁已公布，也不能保證受影響的每臺(tái)設(shè)備每個(gè)系統(tǒng)都會(huì)打上補(bǔ)丁。

有兩個(gè)最近的開源風(fēng)險(xiǎn)的例子，Park’n Fly和OneStopParking.com就因?yàn)镴oomla內(nèi)容管理平臺(tái)中的開源安全漏洞而遭受攻擊。而且，在攻擊發(fā)生前就已經(jīng)發(fā)布了安全補(bǔ)丁，但很不幸，補(bǔ)丁并未被安裝。

忽略與遺忘

問題的存在很大程度上是因?yàn)殚_源往往由“兩個(gè)獨(dú)立的實(shí)體”支撐。以Linux為例，有“內(nèi)核團(tuán)隊(duì)”和“應(yīng)用維護(hù)團(tuán)隊(duì)”。雖然任何對(duì)Linux內(nèi)核自身的改變依然需要經(jīng)過(guò)Linux創(chuàng)造者林納斯·托瓦茲的首肯或由他信任的少數(shù)內(nèi)核維護(hù)者之一批準(zhǔn)，但是對(duì)維護(hù)Linux單個(gè)應(yīng)用程序或軟件包（package）的其他眾多開源項(xiàng)目，他們卻毫無(wú)興趣。

這就引發(fā)了用戶領(lǐng)域的絕對(duì)無(wú)政府狀態(tài)，當(dāng)然也就對(duì)穩(wěn)定性和安全性毫無(wú)益處，因?yàn)楦緵]人負(fù)責(zé)。

另一方面，商業(yè)應(yīng)用中使用的開源組件也是一個(gè)巨大的問題，因?yàn)樗鼈兲菀妆蝗诉z忘。例如OpenSSL庫(kù)和它一系列重大漏洞被發(fā)現(xiàn)時(shí)所引發(fā)的問題。開源和商業(yè)軟件都迫切需要修復(fù)，但當(dāng)OpenSSL用于商業(yè)應(yīng)用程序時(shí)，很多終端用戶根本意識(shí)不到它在那里，所以不知道需要進(jìn)行修復(fù)。雖然可能已經(jīng)開發(fā)出補(bǔ)丁，還是需要有人來(lái)安裝補(bǔ)丁。而通常情況下，開源應(yīng)用并沒有“自動(dòng)更新”這種選項(xiàng)。

根據(jù)開發(fā)者和公司的需要定制或修改代碼是開源的好處之一，但這一好處同時(shí)也是雙刃劍，不知道什么時(shí)候就會(huì)被傷害。所有這些修改，會(huì)造成開源程序出現(xiàn)各種修改版。而很多這些修改的應(yīng)用程序會(huì)重新發(fā)布供全世界享用。然后，問題來(lái)了：你到底用的是哪個(gè)版本呢？有時(shí)候你根本不知道。

這意味著，用戶或開發(fā)人員以為自己已經(jīng)打了補(bǔ)丁，但實(shí)際上，他有可能僅僅是安裝了該應(yīng)用的另一個(gè)版本，而這個(gè)版本很可能就是基于沒打補(bǔ)丁的代碼。漏洞依然存在。

正方與反方

好處：

·免費(fèi)。

·用戶無(wú)需經(jīng)過(guò)任何人同意便可修改代碼。

·百萬(wàn)雙眼睛共同盯著，協(xié)作發(fā)現(xiàn)漏洞。

·任何人均可修復(fù)漏洞，無(wú)需告知廠商。

·通常與專有系統(tǒng)一樣安全，甚至更安全。

缺陷：

·漏洞一旦曝光，對(duì)罪犯和好人的可見性是一樣的。

·沒有特定的個(gè)人或?qū)嶓w負(fù)責(zé)修復(fù)漏洞。

·補(bǔ)丁即便推出，也沒有強(qiáng)制性要求必須安裝。

·被漏洞影響的受害者不會(huì)得到任何人的賠償。

·如果出現(xiàn)法律問題，比如侵害了第三方的知識(shí)產(chǎn)權(quán)，要找到另一方來(lái)負(fù)責(zé)非常困難。

·沒有特定的實(shí)體或個(gè)人負(fù)責(zé)保證開源軟件合規(guī)。

開放修改也意味著代碼可能遭到惡意修改，甚至被注入惡意軟件。或者，更糟糕的情況，從一開始惡意軟件就藏在其中。很不幸，這些情況并不是理論上的，實(shí)際例子已經(jīng)發(fā)生。

開源社區(qū)人數(shù)眾多，但想找個(gè)人出來(lái)對(duì)法律或合規(guī)問題負(fù)責(zé)很難。根本沒人負(fù)責(zé)，出了問題，無(wú)人可告。

開源擁護(hù)者認(rèn)為，開源社區(qū)比開發(fā)私有軟件的公司更靠得住。比如，如果開發(fā)專有系統(tǒng)的公司破產(chǎn)，使用這個(gè)系統(tǒng)的客戶怎么辦？而開源軟件有自己的生命周期，不屬于任何一家實(shí)體。因此可以說(shuō)，其支撐網(wǎng)絡(luò)和穩(wěn)定基礎(chǔ)總是存在的，開源社區(qū)就是開源軟件的穩(wěn)定性之源。

那么，用戶有沒有可能既享用開源的好處又免受開源之害呢？

可信與審查

公司應(yīng)當(dāng)像對(duì)待其他閉源軟件一樣對(duì)待開源軟件。

首先需要知道來(lái)源，保證來(lái)源可信，并且從其他可信源收集軟件的可用更新也是必須的。

即使來(lái)源是可靠的，還需要有適當(dāng)?shù)氖芸氐倪^(guò)程和程序來(lái)審查軟件，審查通過(guò)之后才可以在企業(yè)內(nèi)部進(jìn)行部署。

最后，還需要部署程序來(lái)管理和監(jiān)控進(jìn)入企業(yè)系統(tǒng)的軟件，包括確保企業(yè)了解漏洞和可用補(bǔ)丁的情況，最重要的是，確保補(bǔ)丁得到安裝。

責(zé)任編輯：大云網(wǎng)

免責(zé)聲明：本文僅代表作者個(gè)人觀點(diǎn)，與本站無(wú)關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾，請(qǐng)讀者僅作參考，并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。

我要收藏

個(gè)贊