每個(gè)人都在享受由網(wǎng)絡(luò)時(shí)間協(xié)議帶來的便利,但該項(xiàng)目卻很難為其維護(hù)者或者參與開發(fā)各方帶來收益。
世界上存在著兩類開源項(xiàng)目:一些由企業(yè)負(fù)責(zé)贊助,另一些則屬于“愛的付出”。事實(shí)上,還有第三類項(xiàng)目存在:即具備一定程度支持,但卻始終在尋求下一位贊助者的項(xiàng)目。
部分開源項(xiàng)目得到廣泛使用,這意味著一旦其出了問題,每個(gè)人都會(huì)受到負(fù)面影響。OpenSSL就是這樣一類項(xiàng)目; 當(dāng)Heartbleed漏洞被正式披露后,各組織機(jī)構(gòu)都在想盡辦法對(duì)其網(wǎng)絡(luò)設(shè)備及軟件內(nèi)的安全漏洞進(jìn)行修復(fù)。網(wǎng)絡(luò)時(shí)間協(xié)議(簡(jiǎn)稱NTP)在現(xiàn)代計(jì)算領(lǐng)域同樣扮演著極為重要的角色,其專門負(fù)責(zé)對(duì)不同服務(wù)器及設(shè)備上的時(shí)鐘進(jìn)行同步,從而確保其步調(diào)一致。然而事實(shí)上,NTP項(xiàng)目面臨著資金及支持資源嚴(yán)重匱乏的問題。
NTP已經(jīng)擁有超過30年歷史——其可能是目前運(yùn)行在互聯(lián)網(wǎng)上的年紀(jì)最大的代碼庫了。盡管存在些許小障礙,但其仍然在繼續(xù)工作。不過該項(xiàng)目的前景則不容樂觀,志愿者人數(shù)的大幅減少迫使Harlan Stenn不得不經(jīng)常獨(dú)力完成相關(guān)工作。由于支持有限,該項(xiàng)目能夠?qū)崿F(xiàn)的目標(biāo)也就越來越少,意味著其維護(hù)力度下降且創(chuàng)新幾乎成為不可能。
“NTF的NTP項(xiàng)目仍然處于資金嚴(yán)重不足的狀態(tài)下,”該項(xiàng)目團(tuán)隊(duì)在最近的一份安全倡議中寫道。“谷歌公司今年已經(jīng)不再提供贊助,且目前Linux基金會(huì)的核心基礎(chǔ)設(shè)施項(xiàng)目只能支持Harlan每周用于NTP開發(fā)的全部工作時(shí)長(zhǎng)中的約25%。”
去年,Linux基金會(huì)通過核心基礎(chǔ)設(shè)施項(xiàng)目重新審定了新一年內(nèi)面向NTP的資金贊助,但其可憐的額度顯然遠(yuǎn)遠(yuǎn)不夠。
贊助商的制度對(duì)該項(xiàng)目產(chǎn)生了致命的影響。其最近發(fā)布的ntp-4.2.8p0更新針對(duì)的是今年6月即披露的一項(xiàng)漏洞。而直到今年9月,發(fā)現(xiàn)該漏洞的研究人員仍然能夠通過單一惡意篡改數(shù)據(jù)包利用這一已經(jīng)公布長(zhǎng)達(dá)80天的漏洞。由于漏洞的空窗期已經(jīng)超過100天,Magnus Studman擔(dān)心更多拖延會(huì)導(dǎo)致其被“惡意人士所利用”。
Stenn的反應(yīng)確實(shí)相當(dāng)遲鈍。“實(shí)際上,我們?nèi)匀幻媾R著嚴(yán)重的資源不足問題。大家可以向我們提出問題,且/或加入我們幫助完成工作,且/或邀請(qǐng)他人伸出援手,”他寫道。
研究人員雖然報(bào)告了相關(guān)安全問題,但卻仍然沒有足夠的開發(fā)者幫助Stenn完成修復(fù)、補(bǔ)丁測(cè)試以及文件變更等工作。Linux基金會(huì)的核心基礎(chǔ)設(shè)施項(xiàng)目支持并不包含對(duì)網(wǎng)絡(luò)時(shí)間安全(簡(jiǎn)稱NTS)以及通用時(shí)間戳API等新項(xiàng)目及其遵循現(xiàn)有最佳實(shí)踐與標(biāo)準(zhǔn)的調(diào)整性工作。來自核心基礎(chǔ)設(shè)施項(xiàng)目的支持范疇只包括“支持開發(fā)者以及基礎(chǔ)設(shè)施。”
作為互聯(lián)網(wǎng)工程技術(shù)任務(wù)組(簡(jiǎn)稱IETF)的現(xiàn)有草案版本,NTS為管理員們提供途徑以提升NTP項(xiàng)目安全性水平,從而保護(hù)時(shí)間同步機(jī)制。這一機(jī)制利用數(shù)據(jù)報(bào)傳輸層安全(簡(jiǎn)稱DTLS)以為NTP提供加密安全機(jī)制。而通用時(shí)間戳API則將開發(fā)出一種新的時(shí)間戳格式,其中包含除日期與時(shí)間之外的更多信息,從而提升實(shí)用性。其目標(biāo)是開發(fā)出一種更加有效且可移植的庫API,從而利用這些時(shí)間戳。
眾多開源項(xiàng)目與倡議都受到支持、贊助、財(cái)務(wù)及人力資源不足問題的困擾。正因?yàn)槿绱耍_源安全項(xiàng)目才一直在努力與企業(yè)間建立聯(lián)系。企業(yè)當(dāng)然不希望將現(xiàn)有應(yīng)用建立在某個(gè)未來可能不再受到支持的項(xiàng)目之上。在理想情況下,作為核心基礎(chǔ)設(shè)施內(nèi)關(guān)鍵性組成部分的開源項(xiàng)目應(yīng)當(dāng)擁有永久性贊助資金。
NTP在基礎(chǔ)設(shè)施當(dāng)中扮演著重要角色,幾乎每個(gè)人都在享受著這一免費(fèi)項(xiàng)目帶來的便利。NTP目前不僅需要維護(hù)代碼,更需要更多人加入進(jìn)來以調(diào)試bug并推動(dòng)軟件發(fā)展。如果沒有更多幫助,該項(xiàng)目的未來將一片迷茫。事實(shí)上,NTP或者是建立并負(fù)責(zé)運(yùn)營該項(xiàng)目的網(wǎng)絡(luò)時(shí)間基金會(huì)應(yīng)該不難找到合適的企業(yè)贊助商及貢獻(xiàn)者。
“如果準(zhǔn)確且安全的時(shí)間同步機(jī)制對(duì)您或者您所在的組織機(jī)構(gòu)非常重要,請(qǐng)幫助我們并以此幫助您自己:馬上捐贈(zèng)或者成為我們的成員,”NTP項(xiàng)目團(tuán)隊(duì)寫道。
原文標(biāo)題:Time is running out for NTP,作者:Fahmida Y. Rashid