開源軟件無處不在。由于使用開源軟件的組織不必為通用的軟件組件重新發(fā)明輪子，它已成為技術(shù)創(chuàng)新的主要驅(qū)動(dòng)力。

然而，無所不在的開源軟件也帶來了重大的安全風(fēng)險(xiǎn)，因?yàn)樗鼮槭褂瞄_源軟件產(chǎn)品的消費(fèi)者有意或無意引入了漏洞。最近眾多組織紛紛應(yīng)對(duì)廣泛使用的Log4j代碼庫中的嚴(yán)重漏洞就是最明顯的例子，表明必須解決開源軟件環(huán)境中的風(fēng)險(xiǎn)。

開源對(duì)網(wǎng)絡(luò)犯罪分子的吸引力

開源攻擊方法之所以對(duì)不法分子頗有吸引力，是由于它廣泛且高效。攻擊者可以使用各種方法來混淆對(duì)開源項(xiàng)目做出的惡意更改，而審核代碼以查找安全隱患的嚴(yán)格程度又因項(xiàng)目而異。如果沒有實(shí)施嚴(yán)格的控制措施來檢測(cè)這些惡意更改，它們可能無人注意，直到它們被分發(fā)、添加到眾多公司的軟件中。

針對(duì)開源代碼的攻擊可能在規(guī)模及影響的實(shí)體方面不一樣。比如在2021年7月，研究人員發(fā)現(xiàn)了九個(gè)漏洞，影響三個(gè)開源項(xiàng)目：EspoCRM、Pimcore和Akaunting，這些項(xiàng)目經(jīng)常被中小企業(yè)使用。此外，2017年Equifax數(shù)據(jù)泄露事件清楚地表明了漏洞如何被不法分子利用，并在整個(gè)過程中造成破壞性影響。由于這家組織的開源代碼曝出漏洞，泄露事件影響了1.47億人的個(gè)人數(shù)據(jù)。

永遠(yuǎn)不會(huì)放棄開源

CISA表示，數(shù)億臺(tái)設(shè)備可能受到Log4j漏洞的影響。鑒于這起事件的嚴(yán)重性，許多企業(yè)可能在分析是否將開源代碼用于未來的開發(fā)。

然而，完全放棄開源不切實(shí)際。所有現(xiàn)代軟件都是由開源組件構(gòu)建的，即便開發(fā)很小的應(yīng)用程序，在不用開源的情況下重新構(gòu)建這些組件都需要投入大量的時(shí)間和資金。全球60%以上的網(wǎng)站在Apache和Nginx服務(wù)器上運(yùn)行，據(jù)稱90%的IT領(lǐng)導(dǎo)者經(jīng)常使用企業(yè)開源代碼。

測(cè)試和保護(hù)您的軟件

一種更實(shí)際的方法是，讓安全團(tuán)隊(duì)和軟件團(tuán)隊(duì)協(xié)同工作，開發(fā)用于測(cè)試應(yīng)用程序和軟件組件的策略和流程，而不是對(duì)開源軟件避而遠(yuǎn)之。組織應(yīng)重視涉及這三部分的流程：需要掃描和測(cè)試代碼，建立明確的流程以解決和修復(fù)出現(xiàn)的漏洞，并制定內(nèi)部策略(設(shè)置解決安全問題的規(guī)則)。

說到使用工具測(cè)試開源環(huán)境的彈性，靜態(tài)代碼分析是很好的第一步。不過組織須記?。哼@只是第一道測(cè)試。靜態(tài)分析是指在實(shí)際程序或應(yīng)用軟件上線之前分析源代碼，并解決任何發(fā)現(xiàn)的漏洞。然而，靜態(tài)分析無法檢測(cè)出可能嵌入到開源代碼中的所有惡意威脅。下一步應(yīng)該是在沙盒環(huán)境中進(jìn)行額外的測(cè)試。嚴(yán)格的代碼審核、動(dòng)態(tài)代碼分析和單元測(cè)試是可以利用的其他方法。動(dòng)態(tài)分析是指在軟件程序正在運(yùn)行時(shí)對(duì)其進(jìn)行檢查，以識(shí)別漏洞。

掃描完成后，組織要有明確的流程來解決發(fā)現(xiàn)的任何漏洞。開發(fā)人員可能會(huì)發(fā)現(xiàn)發(fā)布截止日期迫在眉睫，或者軟件補(bǔ)丁可能需要重構(gòu)整個(gè)程序，而時(shí)間緊張。這個(gè)流程應(yīng)給出明確的后續(xù)步驟以解決漏洞和緩解問題，從而幫助開發(fā)人員做出艱難的選擇，以保護(hù)組織的安全。

政策變更步驟應(yīng)制定一項(xiàng)書面計(jì)劃，列出如何在將來制定所有決策，以及在整個(gè)過程中應(yīng)讓哪些利益相關(guān)者參與進(jìn)來。此外，組織可以對(duì)開源組件實(shí)施多種控制，比如證書和認(rèn)證計(jì)劃。不過請(qǐng)記住，這會(huì)增加額外的間接成本，并減慢開源項(xiàng)目的開發(fā)速度。

保護(hù)開源遠(yuǎn)離未來攻擊

整個(gè)行業(yè)在關(guān)注進(jìn)一步保護(hù)開源代碼的必要性。Linux基金會(huì)在2021年10月宣布，它與其他行業(yè)領(lǐng)導(dǎo)者一起籌資1000萬美元，用于識(shí)別和修復(fù)開源軟件中的網(wǎng)絡(luò)安全漏洞，并開發(fā)改進(jìn)的工具、培訓(xùn)、研究和漏洞披露實(shí)踐。

除了全行業(yè)努力保護(hù)基于開源代碼構(gòu)建的軟件免受網(wǎng)絡(luò)威脅外，組織還必須在內(nèi)部對(duì)防御策略采取積極主動(dòng)的方法。這應(yīng)包括為它們自己的代碼和所依賴的開源代碼實(shí)施測(cè)試和控制程序。組織還必須制定內(nèi)部政策和指南，以識(shí)別使用開源軟件帶來的風(fēng)險(xiǎn)，并確定用于管理該風(fēng)險(xiǎn)的控制措施。這么做將使組織得以繼續(xù)利用開源代碼的優(yōu)點(diǎn)，同時(shí)打造一種能抵御未來攻擊的環(huán)境。

原文標(biāo)題：Open Source Code: The Next Major Wave of Cyberattacks，作者：James Carder