此外,根據(jù)“多雙眼睛”的安全理論,很多人在關(guān)注和審查代碼(例如世界上最大的金融公司的安全專業(yè)人員),可以快速找到并修復(fù)任何問(wèn)題。
開(kāi)源軟件是免費(fèi)的嗎?
難怪有人說(shuō)大部分互聯(lián)網(wǎng)都運(yùn)行在開(kāi)源軟件上。這是因?yàn)榇蠖鄶?shù)網(wǎng)站都運(yùn)行在由Apache和Nginx公司領(lǐng)導(dǎo)的開(kāi)源軟件上,大多數(shù)企業(yè)服務(wù)器都運(yùn)行在Linux操作系統(tǒng)上。
還有一些數(shù)據(jù)中心使用Apache Mesos和HashCorp的Nomad這兩個(gè)開(kāi)源數(shù)據(jù)中心操作系統(tǒng)。
網(wǎng)絡(luò)安全公司TrapX的首席營(yíng)銷官Anthony James表示,Kubernetes和Docker是用于在服務(wù)器集群上部署容器的流行開(kāi)源平臺(tái),可提供應(yīng)用程序的自動(dòng)化、擴(kuò)展和運(yùn)行。流行的開(kāi)源數(shù)據(jù)庫(kù)服務(wù)器還包括MySQL和MariaDB等。
即使商業(yè)軟件也無(wú)法抵擋開(kāi)源趨勢(shì)。Synopsys公司表示,現(xiàn)在96%的商業(yè)應(yīng)用程序都提供開(kāi)源組件,而追蹤開(kāi)源代碼的Black Duck 軟件公司是Synopsys公司的子公司。
開(kāi)源組件使商業(yè)軟件商店和內(nèi)部團(tuán)隊(duì)的開(kāi)發(fā)更快、成本更低。
“所有這些都將產(chǎn)生一堆開(kāi)源軟件。”Black Duck公司高級(jí)技術(shù)專家Tim Mackey說(shuō),“但是開(kāi)源代碼的傳播有一個(gè)缺點(diǎn),那就是補(bǔ)丁管理。”
“很多人表示,那么我如何打補(bǔ)丁呢?”Mackey說(shuō),“他們還不是很了解。”
為什么開(kāi)源軟件打補(bǔ)丁很難
當(dāng)商業(yè)軟件推出最新版本或補(bǔ)丁時(shí),開(kāi)發(fā)商可以向他們的客戶推送。這些企業(yè)知道客戶在哪里,因?yàn)橛胸?cái)務(wù)激勵(lì),軟件開(kāi)發(fā)商希望向客戶出售更多產(chǎn)品。
開(kāi)源項(xiàng)目并非如此。任何人都可以下載開(kāi)源軟件,而無(wú)需任何聯(lián)系或付款。如果有更新或安全補(bǔ)丁,將由用戶自己來(lái)維護(hù)、下載并安裝。
Sungard Availability Services公司安全管理與風(fēng)險(xiǎn)總監(jiān)Mitch Kavalsky表示:“開(kāi)源軟件對(duì)漏洞修復(fù)的支持沒(méi)有保證,當(dāng)漏洞未得到修補(bǔ)時(shí),其風(fēng)險(xiǎn)將會(huì)增加。”
這就是為什么在美國(guó)和歐洲擁有多個(gè)數(shù)據(jù)中心的托管服務(wù)商Atlantic.net公司的關(guān)鍵任務(wù)系統(tǒng)并沒(méi)有采用開(kāi)源軟件的原因。
Atlantic.net公司首席執(zhí)行官M(fèi)arty Puranik表示:“關(guān)鍵任務(wù)系統(tǒng)需要有一個(gè)已知的維護(hù)路徑,如果發(fā)生了錯(cuò)誤,采用開(kāi)放源代碼可能只有等待新版本的推出。隨著時(shí)間的推移,開(kāi)源軟件更多的發(fā)展,但我們還沒(méi)有采用。”
但是企業(yè)希望遠(yuǎn)離開(kāi)源軟件并不總是那么容易。大多數(shù)企業(yè)甚至不知道其環(huán)境中有哪些開(kāi)源軟件、工具和組件。當(dāng)Apache公司去年為其開(kāi)源Struts Web應(yīng)用程序框架發(fā)布了安全補(bǔ)丁時(shí),Equifax公司在它的環(huán)境中搜索了兩次受影響的代碼。盡管Equifax正在使用Struts,但未能及時(shí)找到并修補(bǔ)它,并且這個(gè)漏洞曾經(jīng)導(dǎo)致1.35億條個(gè)人記錄泄露。
更糟糕的是,當(dāng)開(kāi)源代碼隱藏在商業(yè)軟件包中時(shí),使用它們的公司甚至可能不知道這些漏洞在哪里。
Black Duck公司表示,67%的商業(yè)應(yīng)用程序正在使用具有已知漏洞的組件。
開(kāi)發(fā)人員并不總是檢查他們使用的開(kāi)源組件是否是最新版本,甚至在他們這樣做時(shí)也沒(méi)有檢查,而一旦將開(kāi)源組件添加到代碼中,開(kāi)發(fā)人員很少檢查是否發(fā)布了更新,它們可能已經(jīng)轉(zhuǎn)移到其他項(xiàng)目上,或者干脆忘記了他們使用的所有組件。
同時(shí),并不是所有的開(kāi)源項(xiàng)目都對(duì)安全性給予足夠的重視。較大的開(kāi)源項(xiàng)目可能會(huì)有企業(yè)的團(tuán)隊(duì)來(lái)跟蹤和修復(fù)漏洞并發(fā)布補(bǔ)丁。但是較小的項(xiàng)目可能沒(méi)有足夠的人員來(lái)管理。
瞻博網(wǎng)絡(luò)網(wǎng)絡(luò)安全策略師Nick Bilogorskiy表示,“根據(jù)經(jīng)驗(yàn),大多數(shù)采用開(kāi)源軟件的項(xiàng)目都難于保持最新?tīng)顟B(tài),并且冒著被已知漏洞利用的巨大風(fēng)險(xiǎn)。”
此外,黑客可以看到代碼本身,并試圖找出濫用它的方法。
GuardiCore公司研究副總裁Ofri Ziv表示,他們甚至可以利用自己可以利用的秘密后門將補(bǔ)丁提交給開(kāi)源項(xiàng)目。如果開(kāi)源項(xiàng)目程序員很少或不夠?qū)I(yè),他們可能不會(huì)發(fā)現(xiàn)問(wèn)題。
“由于這些原因,采用免費(fèi)或開(kāi)源解決方案將帶來(lái)更大的風(fēng)險(xiǎn)。”位于佛羅里達(dá)州的網(wǎng)絡(luò)安全廠商5nine軟件公司的首席技術(shù)官Konstantin Malkov說(shuō)。
那么采用什么樣的解決方案?
第一步是掌握數(shù)據(jù)中心使用的開(kāi)源軟件。
通常,IT經(jīng)理和開(kāi)發(fā)人員可以上網(wǎng)并下載他們需要的工具和組件,而無(wú)需任何監(jiān)督。因?yàn)樗敲赓M(fèi)的,沒(méi)有購(gòu)買過(guò)程,所以沒(méi)有監(jiān)督。
特別是,數(shù)據(jù)中心需要謹(jǐn)慎采用來(lái)自小項(xiàng)目的開(kāi)源軟件,因?yàn)闆](méi)有強(qiáng)大的社區(qū)來(lái)維護(hù)它。最后,人們需要采取行動(dòng)。
“應(yīng)該盡快實(shí)施響應(yīng)式補(bǔ)丁實(shí)踐,以盡快處理問(wèn)題,”洛杉磯的網(wǎng)絡(luò)安全公司Prevoty的首席技術(shù)官兼共同創(chuàng)始人Kunal Anand說(shuō)。
畢竟,居心不良的人不會(huì)無(wú)動(dòng)于衷。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。
京公網(wǎng)安備 11010502049343號(hào)