開源組件在軟件開發(fā)場景中越來越重要。無論是持續(xù)集成/部署、DevOps還是常規(guī)軟件更新，開源都為眾多開發(fā)者帶來了很大的幫助。

在去年發(fā)布的一份報告中，芯片設(shè)計自動化廠商Synopsys發(fā)現(xiàn)，2021年內(nèi)有97%的代碼庫中包含開源組件。而在研究涉及的17個行業(yè)中，有4個行業(yè)（分別為計算機硬件與芯片、網(wǎng)絡(luò)安全、能源與清潔技術(shù)，以及物聯(lián)網(wǎng)）參與審計的代碼庫100%包含開源片段，其他垂直行業(yè)的最低“開源含量”也有93%。

很明顯，開源的成功已經(jīng)在提高效率、節(jié)約成本和增強開發(fā)者生產(chǎn)力方面體現(xiàn)得淋漓盡致。

Synopsys公司高級技術(shù)作家Fred Bals在評論博文中寫道，“開源已經(jīng)是無處不在?！?/p>

但與此同時，開源軟件包在應(yīng)用程序開發(fā)中的不斷普及，也給那些打算利用軟件供應(yīng)鏈傳播后門的惡意黑客群體創(chuàng)造了前所未有的機會。

開源軟件包在開發(fā)領(lǐng)域的大規(guī)模應(yīng)用，意味著企業(yè)往往不清楚這里面到底有些什么。由于在各方之間不斷過手，審查的復(fù)雜度開始直線飆升，軟件供應(yīng)鏈的實際情況也愈發(fā)模糊。去年VMware的一份報告發(fā)現(xiàn)，由于必須依靠社區(qū)來修復(fù)漏洞，再考慮到相應(yīng)的安全風(fēng)險，人們對開源軟件的安全問題開始保持高度警惕。

Endor Labs是一家專司保障應(yīng)用開發(fā)內(nèi)開源軟件安全的廠商，該公司聯(lián)合創(chuàng)始人兼CEO Varun Badhwar將開源軟件稱為“我們關(guān)鍵基礎(chǔ)設(shè)施中的骨干”。但他同時補充稱，也有相當(dāng)一部分開發(fā)者和企業(yè)高管沒有意識到自己的應(yīng)用程序已經(jīng)被開源軟件所全面滲透。

Badhwar指出，縱觀所有安全漏洞，高達95%的比例源自“依賴項”——也就是由開源軟件包間接引入，而非開發(fā)者的主動選擇。

“這是個巨大的隱患，但卻常常被人們所忽視。”

逐漸摸清威脅的真面目

對開源軟件包的依賴早已不是什么新鮮事。根據(jù)軟件供應(yīng)鏈管理供應(yīng)商Sonatype聯(lián)合創(chuàng)始人兼CTO Brian Fox的介紹，這一習(xí)慣在開發(fā)者群體中至少已經(jīng)有十幾年的歷史。

Fox在采訪中表示，開發(fā)人員經(jīng)常將源代碼組件拼湊起來，再向其中添加業(yè)務(wù)邏輯。通過這種方式，開源就成了軟件成果的基礎(chǔ)。

而近年來最顯著的趨勢性變化，就是除了大規(guī)模使用開源組件的開發(fā)者之外，人們對于IT運作的普遍認識也有所增強。

“攻擊者也摸清了開發(fā)的底細。過去這五年左右當(dāng)中，出現(xiàn)了影響整個行業(yè)的重大變化，也就是針對供應(yīng)鏈的惡意軟件攻擊開始興起?！?/p>

真正為這場變化拉開序幕的，是2020年的SolarWinds攻擊事件。與俄羅斯相關(guān)的惡意黑客入侵了該公司軟件系統(tǒng)并植入了惡意代碼，隨后在更新期間，用戶不知不覺間下載了惡意代碼并遭到波及。接下來又有類似的攻擊出現(xiàn)，先是Kaseya、之后是聲量巨大的Log4j。

從Log4j事件說開去

Fox認為，這款基于Java的日志記錄工具，正是大量合并開源組件所引發(fā)風(fēng)險的直接證明。而且這類實踐在軟件開發(fā)當(dāng)中其實非常普遍。

“Log4j是軟件中的一款簡單組件。它的應(yīng)用極廣，幾乎可以認為存在于任何一款Java應(yīng)用程序當(dāng)中，覆蓋率大概有99.99%。那么作為攻擊者，自然有必要關(guān)注這類影響范圍巨大的目標(biāo)。只要能找到利用它的辦法，就能在互聯(lián)網(wǎng)上「大殺四方」。這跟1990年代那會的情況完全不同，當(dāng)時攻擊者得一個個研究不同Web應(yīng)用程序的突破方法，因為那時候的程序會分別使用自己的定制代碼。”

所以從本質(zhì)上講，企業(yè)“已經(jīng)把90%的開發(fā)工作外包給了我們既不認識、也不信任的人。這聽起來很可怕，但過去十年間的事實就是如此。我們現(xiàn)在才剛剛開始探究這到底意味著什么?！?/p>

Log4j還凸顯出軟件供應(yīng)鏈中的另一個問題，即如何判斷一款軟件對于開源代碼的依賴程度。而且盡管修復(fù)補丁早已發(fā)布，但估計仍有29%的Log4j下載量對應(yīng)的是未修復(fù)版本。

根據(jù)Sonatype公司的分析，企業(yè)客戶在大多數(shù)情況下使用的都是易受攻擊的組件版本。經(jīng)過修復(fù)的版本不是沒有，但企業(yè)很少全貌和。Fox稱，這個問題需要安全意識教育來解決?！?6%的問題都出在人們繼續(xù)吃「臟東西」上，大家往往沒有意識去挑選干凈的版本來用?！?/p>

矛頭指向代碼倉庫

開源軟件普及帶來的另一大威脅是：黑客開始將惡意軟件注入GitHub、Python軟件包索引（PYPI）和NPM等代碼倉庫當(dāng)中。利用依賴項混亂揚起的迷霧，惡意黑客開始為各種流行軟件開發(fā)惡意版本，并誘導(dǎo)開發(fā)者將其納入自家軟件。

比方說，他們可能把正確軟件中的破折號替換成下劃線，這樣粗心的開發(fā)者就很可能選定了錯誤的組件。

Fox認為，“這里的挑戰(zhàn)在于，開發(fā)者一旦開始獲取錯誤的組件版本，攻擊就已經(jīng)開始了。這跟以往通過瀏覽器主動下載不一樣，現(xiàn)在的下載過程被隱藏在了工具中、發(fā)生在幕后，這同樣有可能導(dǎo)致惡意軟件的傳播。”

 “這類攻擊手段的復(fù)雜度不高，有些惡意組件甚至懶得把自己偽裝成合法組件。不編譯、不測試，只是把有效載荷發(fā)布出來。就這么簡單粗暴，也仍不乏受害者上鉤?！?/p>

防御方正在集結(jié)

盡管開源軟件存在固有的安全風(fēng)險，但其優(yōu)勢仍然不可否認。Fox強調(diào)，開源軟件比商業(yè)軟件更透明、更清晰。他仍然以Log4j事件為例，當(dāng)時貢獻團隊在幾天內(nèi)就放出了修復(fù)程序，這是商業(yè)組織很難做到的。

網(wǎng)絡(luò)安全服務(wù)商Vulcan Cyber的高級技術(shù)工程師Mike Parkin對此表示贊同，他認為開源模型的公開性是把雙刃劍——既有助于緩解網(wǎng)絡(luò)威脅，也可能拉低潛在的攻擊門檻。

Parkin在采訪中指出，“從歷史角度看，應(yīng)該還是開發(fā)者相對更占優(yōu)勢?！?/p>

SolarWinds事件也讓人們開始認真關(guān)注軟件供應(yīng)鏈的安全問題。以總統(tǒng)拜登的2021年網(wǎng)絡(luò)安全行政令為基礎(chǔ)，白宮方面于2022年9月正式要求各聯(lián)邦機構(gòu)在使用第三方軟件時必須遵循NIST指南，包括軟件開發(fā)商需要自證安全并提交軟件材料清單（SBOM）。

軟件開發(fā)商也在推動廣泛努力，希望加強軟件供應(yīng)鏈的整體安全性。具體手段包括開放軟件供應(yīng)鏈攻擊參考，發(fā)布漏洞可用性交流（VEX）等工具，并使用由各網(wǎng)絡(luò)安全廠商開發(fā)的相關(guān)產(chǎn)品。

但這還不夠，Sonatype公司的Fox希望看到更多舉措——例如要求軟件開發(fā)商召回存在缺陷的軟件組件。而這項工作的前提條件，就是首先普及軟件材料清單。Fox將其與汽車制造業(yè)進行了比較：廠商只需要向買家提供一份零配件清單，即可明確責(zé)任劃分。如果證實是其中某一配件的缺陷，則整車本體不需要召回。

 “軟件也應(yīng)該建立起類似的召回機制，這意味著開發(fā)商知道用了哪些組件、這些組件來自哪里，還有應(yīng)用程序的正常運行依賴于哪些開源軟件版本。只有這樣，安全隱患才有被發(fā)現(xiàn)和管理起來的可能。這才是正確的安全發(fā)展方向。”

Fox還希望各方能專注于維護開源軟件包。政府在這方面已經(jīng)有所行動，《歐盟網(wǎng)絡(luò)彈性法案》也談到了軟件召回問題，只是相關(guān)表述還不夠確切。在這方面，美國很可能會走在世界前列。

他也提到了組件級防火墻的想法，這些防火墻的性質(zhì)類似于檢查網(wǎng)絡(luò)流量并提前阻斷惡意信息的數(shù)據(jù)包防火墻，區(qū)別是在組件層級上阻止惡意代碼損害軟件失。

 “如果我們壓根不了解軟件里有些什么，那就不可能搞清楚里面有沒有惡意軟件。這不僅代表著易受攻擊，甚至可以說是種「我為魚肉」的消極姿態(tài)。只要被對方觸及，惡意黑客就能立刻制造傷害。而且很遺憾，大多數(shù)人還沒有認真思考過這個問題?！?/p>

Sonatype公司的方案是將Nexus防火墻構(gòu)建至平臺當(dāng)中，依托于衍生自信用卡欺詐保護的技術(shù)阻斷惡意代碼。防火墻理解正常運作時的狀態(tài)，并利用AI和機器學(xué)習(xí)技術(shù)檢測異?；顒印?022年，該防火墻就標(biāo)記出了108000多次惡意攻擊嘗試。

 “很多組織甚至壓根沒有意識到這個問題。但現(xiàn)實就是如此，惡意黑客們?nèi)匀诲羞b法外、肆無忌憚?！?/p>

不止如此，防火墻功能還需要跟軟件材料清單結(jié)合起來。

 “沒錯，必須了解軟件中的各部分組件在哪。這樣當(dāng)下一次Log4j事件發(fā)生時，我們才能立即做出糾正，而不必臨時對成千上萬的應(yīng)用程序做劃分。但理解軟件構(gòu)成還只是第一步，我們需要建立保護體系才能真正拒惡意攻擊于邊界之外?！?/p>