Apache HTTP服務(wù)器是世界上最常見(jiàn)的Web服務(wù)器軟件，這點(diǎn)是明擺著的。據(jù)最近一項(xiàng)調(diào)查顯示，全世界運(yùn)行Apache HTTP的網(wǎng)站數(shù)量超過(guò)4.2億個(gè)。鑒于數(shù)字如此驚人，我們自然很好奇地想了解Apache背后的更多詳情。

我們Pingdom網(wǎng)站的人員都是Apache HTTP Web服務(wù)器的擁躉，因?yàn)槲覀冇盟鼇?lái)運(yùn)行我們的主網(wǎng)站Pingdom.com。所以我們逮住機(jī)會(huì)、興致勃勃地采訪William A. Rowe Jr.也就不足為奇了，前不久他還在完全志愿者組成的Apache軟件基金會(huì)擔(dān)任HTTP服務(wù)器項(xiàng)目副總裁一職。他在近12年一直效力于Apache軟件基金會(huì)，擔(dān)任過(guò)不同崗位，包括2007年至2009年任職基金會(huì)董事。

一種錯(cuò)誤的想法：開(kāi)源不大安全

首先，我們向Bill(注：William的昵稱)拋出了人們通常所持的這個(gè)想法：由于在Apache HTTP服務(wù)器等開(kāi)源項(xiàng)目中，源代碼向公眾開(kāi)放，所以這意味著開(kāi)源不大安全。這種觀點(diǎn)認(rèn)為，實(shí)際上，誰(shuí)要是想鉆運(yùn)行開(kāi)源軟件的系統(tǒng)的空子，只要查看代碼，就能弄清楚如何闖入進(jìn)去。另一方面，閉源軟件天生要來(lái)得更安全，因?yàn)榇a不是誰(shuí)都可以隨隨便便查看的。

[[64837]] 
William A. Rowe Jr.，軟件基金會(huì)HTTP服務(wù)器項(xiàng)目前副總裁

Bill答復(fù)：“很顯然，這是一種錯(cuò)誤的認(rèn)識(shí)。”

他繼續(xù)說(shuō)：“公開(kāi)披露自己的部分源代碼，這其實(shí)是像微軟這些閉源產(chǎn)品開(kāi)發(fā)公司最不擔(dān)心的。它們更加擔(dān)心的是有人用間諜手段刺探源代碼，或者通過(guò)滲透測(cè)試發(fā)現(xiàn)軟件缺陷(bug);這種情況下，它們不知道自己的源代碼在接受審查。”

他解釋，如今，針對(duì)軟件的安全審查在很大程度上實(shí)現(xiàn)了自動(dòng)化。Bill說(shuō)：“誰(shuí)都可以進(jìn)行這樣的審查;由于審查是自動(dòng)化的，所以可以重現(xiàn)。”

Apache HTTP服務(wù)器用戶社區(qū)經(jīng)常被邀請(qǐng)進(jìn)行這樣的審查，自動(dòng)掃描代碼，一旦發(fā)現(xiàn)了異常，就提醒相應(yīng)的項(xiàng)目組。發(fā)現(xiàn)的異常有可能是明確的安全漏洞，也可能不是明確的安全漏洞，但是應(yīng)予以關(guān)注，因?yàn)樗赡軙?huì)成為一個(gè)明確的安全漏洞。

Bill的觀點(diǎn)是，黑客針對(duì)二進(jìn)制代碼做這樣的事不是重大問(wèn)題，無(wú)論二進(jìn)制代碼是用閉源代碼編寫(xiě)的，還是用開(kāi)源代碼編寫(xiě)的。他表示，簡(jiǎn)而言之，壞人在繼續(xù)搗鼓閉源產(chǎn)品，正如他們?cè)谝酝瑯拥氖址〒v鼓開(kāi)源產(chǎn)品。

針對(duì)逆向工程和反編譯等方面的牢騷在安全領(lǐng)域其實(shí)算不得什么。

他補(bǔ)充說(shuō)：“針對(duì)逆向工程和反編譯等方面的牢騷在安全領(lǐng)域其實(shí)算不得什么;實(shí)際上，對(duì)研究安全人員來(lái)說(shuō)只會(huì)適得其反。安全研究人員在努力化解問(wèn)題。要是沒(méi)有源代碼，也就缺乏必要的透明度了，那樣他們無(wú)法搞清楚可以采取什么化解措施，一開(kāi)始就避免問(wèn)題，或者無(wú)法搞清楚他們已經(jīng)發(fā)現(xiàn)的漏洞有什么樣的實(shí)際影響。”

你可能會(huì)認(rèn)為，Bill為其中一個(gè)比較知名的開(kāi)源軟件項(xiàng)目工作了這么久，其立場(chǎng)肯定會(huì)偏袒一方。別犯想當(dāng)然的毛病，那樣很容易擯棄他的觀點(diǎn)。

他的觀點(diǎn)是，閉源軟件實(shí)際上妨礙了安全研究人員了解安全漏洞的范圍。Bill表示，如何找出安全漏洞在開(kāi)源與閉源之間區(qū)別不是很大。這往往就是這個(gè)過(guò)程：建立任意模式，然后看看會(huì)不會(huì)引起未預(yù)期的后果。

#p#  Apache在內(nèi)部如何處理安全問(wèn)題?

隨后我們稍稍改變了話題的方向，著重探討總體上的Apache基金會(huì)和具體上的HTTP項(xiàng)目在內(nèi)部如何處理安全問(wèn)題。

在Apache肩負(fù)處理安全問(wèn)題這個(gè)重任的是Apache軟件基金會(huì)安全小組(ASF Security Team)，Bill是這個(gè)團(tuán)隊(duì)的成員之一。他表示，開(kāi)始，“我們還以為只會(huì)接到關(guān)于httpd的安全事件報(bào)告。但情況很快就發(fā)生了變化。”

安全團(tuán)隊(duì)的規(guī)模慢慢擴(kuò)大到了隨時(shí)都有5名活躍成員，臨時(shí)委員會(huì)有10名成員。Bill解釋：“我們實(shí)際上扮演了調(diào)度員的角色。”

至少在外人看來(lái)，這個(gè)過(guò)程似乎很簡(jiǎn)單：“團(tuán)隊(duì)確認(rèn)我們確實(shí)遇到了酷似安全事件報(bào)告的問(wèn)題，對(duì)不是安全事件報(bào)告的任何問(wèn)題進(jìn)行排查，然后將排查結(jié)果交給相應(yīng)的人員或部門(mén)。”

“如果我們接到公眾反饋上來(lái)的零日安全漏洞，或者實(shí)際的重現(xiàn)情形——通過(guò)另一家機(jī)構(gòu)悄悄傳遞給我們，我們隨后會(huì)轉(zhuǎn)交給某個(gè)相應(yīng)的Apache項(xiàng)目;我們成為了這個(gè)項(xiàng)目的資源中心，幫助他們了解你與報(bào)告這個(gè)事件的那一方如何互動(dòng)。”

然后，視項(xiàng)目會(huì)不會(huì)重現(xiàn)報(bào)告的安全漏洞而定，安全團(tuán)隊(duì)幫助項(xiàng)目應(yīng)對(duì)安全研究人員(通常是報(bào)告安全漏洞的那個(gè)人或那家組織)。Bill解釋：“我們對(duì)他們說(shuō)，嘿，在我的下一個(gè)版本中，我們會(huì)拿出修復(fù)程序，你在那個(gè)時(shí)間點(diǎn)之前別用這個(gè)版本，這是我們的時(shí)間表。”

我們并沒(méi)有試圖有意隱藏我們的代碼執(zhí)行什么樣的功能。

“我們并沒(méi)有試圖有意隱藏我們的代碼執(zhí)行什么樣的功能，而我們能做的就是修補(bǔ)漏洞，我們只是說(shuō)自己在修復(fù)軟件缺陷，而不是把任何注意力引向這個(gè)事實(shí)：舊代碼中存在安全問(wèn)題，安全問(wèn)題是這個(gè)樣子。”

據(jù)Bill聲稱，有些人在密切關(guān)注重大開(kāi)源項(xiàng)目(如Linux內(nèi)核、httpd及其他項(xiàng)目)提交的代碼，一心尋找在不遠(yuǎn)的將來(lái)可能堵上的漏洞。Bill解釋：“如果他們能找到我們正努力堵上的漏洞，他們想找到機(jī)會(huì)窗口，以便可以鉆這個(gè)安全漏洞的空子。”

“所以我們扮演的是資源中心，盡量化解困惑、化解每一個(gè)項(xiàng)目的壓力——我們?cè)谌魏螘r(shí)間有100個(gè)左右的項(xiàng)目，每個(gè)項(xiàng)目都在處理各自的安全問(wèn)題，無(wú)論是在排查安全問(wèn)題，還是迅速處理安全問(wèn)題。”

我們還應(yīng)補(bǔ)充一下，安全團(tuán)隊(duì)在努力幫助確認(rèn)看起來(lái)像特定問(wèn)題域問(wèn)題的某些問(wèn)題，比如最近的散列安全漏洞(http://arstechnica.com/business/news/2011/12/huge-portions-of-web-vulnerable-to-hashing-denial-of-service-attack.ars)。隨后，安全團(tuán)隊(duì)會(huì)查看其他Apache項(xiàng)目可能會(huì)受到什么影響，團(tuán)隊(duì)可以在多大程度上與別人共享有關(guān)的安全報(bào)告，即便受直接影響最大的那個(gè)項(xiàng)目正在處理當(dāng)前的安全漏洞。

#p# 個(gè)人能選擇感興趣的事來(lái)做

無(wú)論從哪個(gè)標(biāo)準(zhǔn)來(lái)看，Apache HTTP都是一個(gè)成熟的軟件項(xiàng)目，在問(wèn)世近17年后，最近迎來(lái)了版本2.4。我們請(qǐng)Bill回顧一下他在Apache基金會(huì)和HTTP項(xiàng)目時(shí)候的情況，現(xiàn)在安全方面是不是在占用更多的時(shí)間。

項(xiàng)目越成熟，你在表面上的變化方面談?wù)摰迷蕉唷?/strong>