談到安全性，人們通常關(guān)注的焦點(diǎn)始終圍繞限制訪問(wèn)以防止未經(jīng)授權(quán)的入侵。無(wú)論是鎖住房屋的物理門還是密封組織的數(shù)字網(wǎng)絡(luò)，安全始終專注于創(chuàng)建一個(gè)封閉的環(huán)境。然而，在過(guò)去幾年中，這種封閉的安全方法受到了開(kāi)源軟件和硬件的挑戰(zhàn)，組織依賴公開(kāi)可用的代碼在其網(wǎng)絡(luò)中部署和構(gòu)建應(yīng)用程序。 

開(kāi)源的演進(jìn)

開(kāi)源涉及使用開(kāi)放和免費(fèi)可用代碼的組織，如今它越來(lái)越流行，據(jù)Synopsys開(kāi)源安全和風(fēng)險(xiǎn)分析報(bào)告的最新數(shù)據(jù)顯示，如今代碼庫(kù)中 有78% 的代碼是開(kāi)源的。 

在考慮開(kāi)源的益處時(shí)，不僅代碼可以免費(fèi)使用，而且還為組織提供了更高的透明度，因?yàn)樗麄兛梢钥吹阶约赫谑褂玫脑创a并評(píng)估其安全性。 

他們還可以看到對(duì)代碼所做的更改，并與開(kāi)發(fā)人員合作對(duì)其進(jìn)行改進(jìn)。此外，由于許多組織都在使用相同的代碼，因此通?？梢愿斓刈R(shí)別出錯(cuò)誤和弱點(diǎn)，并且用戶社區(qū)將提供專家建議來(lái)修復(fù)它們。這意味著有更多的人關(guān)注代碼，他們的目的都是為了使代碼盡可能地安全。

支持開(kāi)源的最突出的組織之一是特斯拉，其首席執(zhí)行官埃隆·馬斯克 (Elon Musk) 早在 2018 年就選擇開(kāi)源其代碼。馬斯克意識(shí)到世界的未來(lái)將嚴(yán)重依賴電動(dòng)汽車，但電動(dòng)汽車要取得成功，人們需要投資于其安全性。作為回應(yīng)，馬斯克開(kāi)源了特斯拉的軟件，允許其他人在它的基礎(chǔ)上制造汽車，并對(duì)它的安全性充滿信心。 

馬斯克遵循著許多其他組織的腳步，包括 Facebook、微軟和谷歌，他們都通過(guò)開(kāi)源項(xiàng)目獲益。這些技術(shù)領(lǐng)導(dǎo)者不僅通過(guò)漏洞賞金和安全評(píng)估向安全研究人員開(kāi)放他們的網(wǎng)絡(luò)，而且他們還資助開(kāi)源項(xiàng)目并擁有致力于開(kāi)源計(jì)劃的團(tuán)隊(duì)。 

例如， 數(shù)字安全設(shè)計(jì) (DSbD)? 計(jì)劃將通過(guò)創(chuàng)建一個(gè)新的、更安全的硬件和軟件生態(tài)系統(tǒng)，從根本上更新不安全的數(shù)字計(jì)算基礎(chǔ)設(shè)施的基礎(chǔ)。DSbD 計(jì)劃 已經(jīng)交付了 DSbD 技術(shù)的第一個(gè)片上系統(tǒng) (SoC) 原型和開(kāi)發(fā)板 Morello的硬件實(shí)現(xiàn)。Morello 開(kāi)發(fā)板是由英國(guó) Arm 公司基于劍橋大學(xué)計(jì)算機(jī)實(shí)驗(yàn)室的 CHERI 保護(hù)模型開(kāi)發(fā)的 Morello 原型架構(gòu)的真實(shí)測(cè)試平臺(tái)。

CHERI 旨在提供實(shí)際可部署的性能和兼容性，只需要對(duì)現(xiàn)有軟件和硬件進(jìn)行最小的更改：重新編譯現(xiàn)有的 C/C++，并進(jìn)行輕微的自適應(yīng)，可以保護(hù)具有功能的指針。這結(jié)合了硬件實(shí)現(xiàn)、完整的軟件堆棧和適應(yīng)廣泛使用的開(kāi)源軟件，以提高安全性并鼓勵(lì)測(cè)試。

開(kāi)源思維是航空業(yè)多年來(lái)認(rèn)可的一種思維方式。當(dāng)航空事故發(fā)生時(shí)，航空公司不會(huì)逃避，取而代之的是整個(gè)航空業(yè)共同努力調(diào)查這一事件并建造更安全的飛機(jī)。這種團(tuán)體精神使航空旅行成為當(dāng)今最安全的交通方式。 

然而，它肯定也是有風(fēng)險(xiǎn)的。 

那么，主要風(fēng)險(xiǎn)是什么？如何克服這些風(fēng)險(xiǎn)？

開(kāi)源風(fēng)險(xiǎn)

開(kāi)源的最大風(fēng)險(xiǎn)之一是沒(méi)有經(jīng)常管理或更新，這可能會(huì)給用戶帶來(lái)風(fēng)險(xiǎn)。 

雖然特斯拉開(kāi)源軟件的用戶可以放心，其代碼將得到徹底管理，但對(duì)于規(guī)模較小且缺乏經(jīng)驗(yàn)的開(kāi)發(fā)人員來(lái)說(shuō)，情況并非總是如此，尤其是因?yàn)樗麄冋诿赓M(fèi)贈(zèng)送一些東西。

如果代碼沒(méi)有更新并且沒(méi)有人負(fù)責(zé)更新它，那么當(dāng)出現(xiàn)問(wèn)題時(shí)，沒(méi)有人可以追究責(zé)任。最終，它只會(huì)被錯(cuò)誤和漏洞所困擾，從而將其用戶置于嚴(yán)重風(fēng)險(xiǎn)之中。事實(shí)上，最近 Synopsys OSSRA 報(bào)告顯示，81% 的開(kāi)源代碼包含漏洞。  

因此，當(dāng)組織評(píng)估開(kāi)源軟件和硬件時(shí)，必須進(jìn)行盡職調(diào)查并分析產(chǎn)品的質(zhì)量，并在將產(chǎn)品引入組織架構(gòu)之前了解其創(chuàng)建人。 

找出誰(shuí)負(fù)責(zé)修改和更新代碼，并確保他們有資源、精力和時(shí)間來(lái)執(zhí)行必要的安全更新；否則，未來(lái)無(wú)疑會(huì)出現(xiàn)風(fēng)險(xiǎn)。 

這也是世界各國(guó)政府評(píng)估開(kāi)源并考慮規(guī)范該行業(yè)的關(guān)鍵原因之一。擬議的法規(guī)將確保開(kāi)源項(xiàng)目擁有所有者并負(fù)責(zé)更新。然而，這可能會(huì)阻礙市場(chǎng)，因?yàn)闈撛诘倪`規(guī)行為會(huì)導(dǎo)致希望進(jìn)入開(kāi)源領(lǐng)域的開(kāi)發(fā)人員減少。

推動(dòng)開(kāi)源發(fā)展

開(kāi)源通過(guò)匯集來(lái)自不同來(lái)源的專業(yè)知識(shí)來(lái)開(kāi)發(fā)更好、更安全的產(chǎn)品，為組織提供了真正的安全優(yōu)勢(shì)。但是，組織必須在將開(kāi)源代碼部署到其網(wǎng)絡(luò)之前進(jìn)行研究。  

對(duì)于組織來(lái)說(shuō)，有一個(gè)內(nèi)部管理人員來(lái)確保安全得到維護(hù)和迅速進(jìn)行更新也是至關(guān)重要的。了解開(kāi)源安全性以及如何管理開(kāi)源組件的開(kāi)發(fā)人員是管理內(nèi)部開(kāi)源項(xiàng)目的最佳人選。

那么，開(kāi)源是實(shí)現(xiàn)安全的最佳途徑嗎？這一切都取決于項(xiàng)目本身，但如果做得好，它肯定會(huì)為企業(yè)帶來(lái)許多無(wú)與倫比的安全優(yōu)勢(shì)。

原標(biāo)題：Is Open Source the Greatest Path to Security?

作者：Darren Prehaye

鏈接：https://www.infosecurity-magazine.com/opinions/open-source-path-security/

 ?