信息來(lái)源:FreeBuf
現(xiàn)在�����,無(wú)論是商業(yè)軟件還是程序員自行開(kāi)發(fā)的小程序�����,開(kāi)源代碼已經(jīng)變得越來(lái)越普遍了�����,而開(kāi)源似乎也已經(jīng)成為了一種趨勢(shì)�����。但需要注意的是�����,Black Duck軟件公司的研究人員根據(jù)他們對(duì)開(kāi)源項(xiàng)目所收集到的統(tǒng)計(jì)數(shù)據(jù)預(yù)測(cè)到�����,基于開(kāi)源軟件漏洞的網(wǎng)絡(luò)攻擊活動(dòng)數(shù)量在2017年將增長(zhǎng)20%�����。
Black Duck軟件公司的安全策略副總裁Mike Pittenger表示�����,商業(yè)軟件項(xiàng)目的免費(fèi)版本數(shù)量已經(jīng)超過(guò)了50%甚至更多�����,而開(kāi)源軟件產(chǎn)品所占比重從2011年的3%增長(zhǎng)到了現(xiàn)在的33%�����。平均每一款商業(yè)軟件都會(huì)使用超過(guò)100個(gè)開(kāi)源組件�����,而且三分之二的商業(yè)應(yīng)用代碼中已知是存在安全漏洞的�����。
最糟糕的是�����,買家和用戶通常都沒(méi)有辦法知道他們所購(gòu)買的產(chǎn)品使用了哪些開(kāi)源組件。一般來(lái)說(shuō)�����,公司在這一方面做的都不是很到位�����,有些公司可能會(huì)給客戶提供一份產(chǎn)品組件清單,但這些清單所名列出的組件數(shù)量和類型往往是不完整的�����。如果你打算在沒(méi)有得到廠商允許的情況下對(duì)產(chǎn)品代碼進(jìn)行分析,那么你很有可能會(huì)違反他們的產(chǎn)品許可協(xié)議�����,而這將會(huì)給你帶來(lái)一大堆麻煩�����,所以我們不建議用戶這樣做。但是由于行業(yè)地位和影響力等因素�����,某些大型企業(yè)在購(gòu)買第三方軟件產(chǎn)品時(shí)會(huì)要求廠商提供產(chǎn)品的完整技術(shù)細(xì)節(jié)�����,并且還會(huì)請(qǐng)類似Black Duck這樣的第三方廠商來(lái)對(duì)產(chǎn)品代碼進(jìn)行安全審查�����。
Pittenger認(rèn)為�����,避免使用開(kāi)源軟件其實(shí)并不可取�����。很多開(kāi)源代碼庫(kù)的開(kāi)發(fā)是完全符合行業(yè)標(biāo)準(zhǔn)的�����,而重復(fù)造車輪絕對(duì)是在浪費(fèi)時(shí)間�����,這樣不僅會(huì)延遲產(chǎn)品的上市時(shí)間�����,而且還會(huì)使公司的行業(yè)競(jìng)爭(zhēng)力大大降低。因此�����,越來(lái)越多的商業(yè)軟件開(kāi)發(fā)商會(huì)開(kāi)始在自己的產(chǎn)品中使用開(kāi)源代碼�����,而這種趨勢(shì)目前正在加速發(fā)展�����。
目前�����,任何一個(gè)活躍的開(kāi)源項(xiàng)目背后都有社區(qū)的積極支持�����,而這將會(huì)給這款產(chǎn)品帶來(lái)可靠的安全保證和穩(wěn)定的功能更新�����。在某些情況下�����,如何某款產(chǎn)品允許用戶自行對(duì)軟件源碼進(jìn)行安全審計(jì)�����,或者可以對(duì)該產(chǎn)品進(jìn)行高度定制�����,那么將會(huì)對(duì)產(chǎn)品的安全性提升有很大的幫助�����。就我們的經(jīng)驗(yàn)來(lái)看�����,如果某一款商業(yè)工具可以做到這件事情的話�����,那么肯定會(huì)有相應(yīng)的開(kāi)源工具可以做到同樣的事情。
但是�����,這種“多渠道”的漏洞檢查方法并不總是百分之百有效的�����,仍然會(huì)有很多開(kāi)源代碼中的漏洞會(huì)成為漏網(wǎng)之魚(yú)�����。
AlienVault公司的安全顧問(wèn)Javvad Malik表示:
“任何人都可以對(duì)代碼進(jìn)行審計(jì)�����,但并非每個(gè)人都會(huì)這樣做,因?yàn)樗坪趺恳粋€(gè)人都認(rèn)為其他人已經(jīng)對(duì)這些代碼進(jìn)行過(guò)安全審查了�����,這也就是問(wèn)題之所在�����?����!?
因此,管理開(kāi)源組件的問(wèn)題已經(jīng)成為了一個(gè)非常棘手的問(wèn)題�����,而且網(wǎng)絡(luò)犯罪分子們似乎也已經(jīng)意識(shí)到了這一點(diǎn)�����,并逐漸開(kāi)始利用我們的這一薄弱點(diǎn)來(lái)實(shí)施攻擊�����。
在目前的互聯(lián)網(wǎng)中�����,開(kāi)源代碼幾乎無(wú)處不在�����,所以攻擊者只需要利用一個(gè)漏洞就可以攻擊大量的目標(biāo)�����。對(duì)開(kāi)源代碼的追蹤其實(shí)是非常困難的�����,隱私用戶通常無(wú)法對(duì)產(chǎn)品中的開(kāi)源代碼進(jìn)行及時(shí)地修復(fù)和更新�����,所以攻擊者就可以利用很多已知的漏洞和安全研究專家所發(fā)布的漏洞PoC來(lái)實(shí)施攻擊�����。
除此之外,物聯(lián)網(wǎng)在去年也得到了非常迅速的發(fā)展�����,而物聯(lián)網(wǎng)設(shè)備的安全性也成為了目前的一個(gè)令人頭疼的問(wèn)題�����。毫無(wú)疑問(wèn)�����,這個(gè)問(wèn)題在2017年仍將困擾著我們�����。
Malik認(rèn)為�����,現(xiàn)在很多智能設(shè)備和物聯(lián)網(wǎng)設(shè)備都會(huì)使用大量的開(kāi)源工具�����,而臭名昭著的Mirai僵尸網(wǎng)絡(luò)就是一個(gè)很好的例證�����。
與此同時(shí),開(kāi)發(fā)人員通常都不會(huì)去檢測(cè)開(kāi)源代碼中的安全漏洞�����,而且有時(shí)候迫于產(chǎn)品開(kāi)發(fā)期限的壓力�����,他們明知代碼中存在安全問(wèn)題�����,卻仍然選擇直接使用它們�����。這也就意味著�����,即便是開(kāi)源項(xiàng)目的維護(hù)人員及時(shí)發(fā)布了更新�����,外面也仍然存在很多未打補(bǔ)丁的產(chǎn)品�����。當(dāng)你的新產(chǎn)品使用了舊版本的開(kāi)源組件時(shí)�����,你的新產(chǎn)品中也會(huì)存在已知的安全漏洞�����。而且據(jù)統(tǒng)計(jì)數(shù)據(jù)顯示�����,商業(yè)軟件項(xiàng)目中的安全漏洞平均年齡為五年�����,有些產(chǎn)品中的某一漏洞甚至存在了有十年之久。
OpenSSL代碼庫(kù)中的Heartbleed漏洞在2014年初被發(fā)現(xiàn)�����,而該漏洞的曝光也引起了業(yè)界的廣泛關(guān)注�����。但是在去年�����,仍然有10%左右的應(yīng)用軟件正在使用包含漏洞的OpenSSL版本�����。而且Pittenger表示�����,安全研究專家平均每一年都可以在開(kāi)源軟件中找出2000到4000個(gè)安全漏洞�����。
解決這個(gè)問(wèn)題則需要軟件廠商和廣大客戶的共同努力�����,而且企業(yè)的軟件開(kāi)發(fā)人員也需要培養(yǎng)良好的安全意識(shí)�����。但我們應(yīng)該做好心理準(zhǔn)備�����,因?yàn)樵谇闆r好轉(zhuǎn)之前�����,目前的安全狀況只會(huì)變得更加糟糕�����。
