开源“白嫖”遇上史诗级漏洞,Log4j 背后的开源人!
近年来,开源热潮席卷全球,纵观全球信息产业,更是呈现“得开源者得生态,得开源者得天下”的态势。在此趋势下,众多互联网企业争相拥抱开源,“开源”一词被推上了前所未有的高度。
然而,上周全球知名开源日志组件 Apache Log4j2 被曝严重高危漏洞的事件,撕开了“开源”光鲜亮丽的外表,将部分残忍的真实现状公诸于世:
无数开源项目维护者困于生存压力,只能在身兼全职工作的业余时间为了热爱与责任“用爱发电”、苦苦坚守,换来的却是项目出 Bug 时的无情抨击。
(图片下载自视觉中国)
只有 3 个人赞助的 Apache Log4j2
上周,Apache Log4j2 被曝存在严重高危的远程代码执行漏洞,可以让网络攻击者无需密码就能访问网络服务器,阿里云、斗象科技、绿盟科技、默安科技、奇安信等众多安全厂商均对此发布危害通报,具体漏洞详情可见:《Flink等多组件受影响,Apache Log4j曝史诗级漏洞》
Apache Log4j2 这一漏洞触发简单、攻击难度低、影响人群广泛,被称为“史诗级”高危漏洞,服务器业务(Steam、iCloud、Minecraft 等)被严重影响,其中元宇宙概念游戏《我的世界》更是有数十万用户被入侵。尽管后续 Apache Log4j2 针对该漏洞给出了修复版本 log4j-2.15.0-rc2,但由于 Apache Log4j2 应用广泛,该漏洞几乎会严重影响所有将 Java 作为开发语言研发产品的安全性,因此漏洞发现以后,世界上很多程序员都在为此加班加点,甚至开始抨击为何 Apache Log4j2 的维护者们连这般危险的漏洞都没发现。
那这是为什么呢?据 Apache 软件基金会 Logging Services 的 PMC 成员 Volkan Yazıcı 在推特上给出的解释,此次漏洞是“为向后兼容保留的旧功能”而引发的:
“Log4j 维护者一直在为缓解措施而失眠;修复错误、文档和 CVE,还要回应他人的询问。即便如此,他们还要遭受许多严厉的批评乃至抨击——哪怕这份工作没有任何酬劳,哪怕这个为了向后兼容而保留的功能我们其实也不喜欢。”
Volkan Yazıcı 这个回应可谓“一石激起千层浪”,不仅是因为漏洞起源,更多的是因为他所说的“这份工作没有任何酬劳”:从此次 Apache Log4j2 漏洞的影响范围来看,将其看做打入互联网的“半壁江山”也不为过,这样一个使用广泛的开源项目,背后维护者没有得到赞助吗?
没有,几乎没有。从 Cryptogopher+Go 团队安全负责人 Filippo Valsorda 在推特上发布的截图来看,在本次事件发酵之前,赞助 Apache Log4j2 项目的只有 3 人——一个应用于整个互联网行业“半壁江山”的开源项目,只有 3 个人赞助。
不仅如此,据网络安全记者 Catalin Cimpanu 表示,Apache Log4j2 主要是由三名志愿者在他们的业余时间进行维护工作的。
对此,Filippo Valsorda 不禁发推呼吁:
“这就是修复了导致数百万美元损失的漏洞的维护者:‘我在业余时间维护 Log4j’、‘一直梦想全职做开源’、‘只有 3 个人在资助 Ralph Goers(Apache Log4j2 项目创始人)’。人们,我们正在做什么啊?”
所幸,截至发稿,项目赞助者已增至 63 人。
被“白嫖”的项目比比皆是
除了 Apache Log4j2,还有许多开源项目也陷于类似处境。
Babel
Babel 是一个用于 JavaScript 的通用多用途编译器,开发者通过 Babel 可以使用(或创建)下一代的 JavaScript 以及 JavaScript 工具,许多主要框架(React,Vue,Ember,Polymer)以及著名公司(Facebook,Netflix,Airbnb)都是 Babel 的用户。
可就是这样一个影响深远的开源项目,却依旧陷入了财务危机:今年 5 月 Babel 宣布,由于花钱速度持续高于获取捐赠的速度,Babel 已经陷入了财务困境,当前剩余的资金将很快被用完,该项目储备资金目前只够维持到 2021 年底。
Curl
今年 11 月,有用户向苹果请求更新 macOS 12 中与 Curl 有关的信息,结果苹果直接回复用户让他自行联系 Curl,并提供了 Curl 的帮助页面地址。
此事引发开源项目 Curl 创始人 Daniel Stenberg 极度不满,直接怼了一通:“想象一下,一家市值万亿美元的公司将各种开源组件组合在一起,每年可从中获利数十亿美元。当用户就其提供的产品寻求帮助的时候,这家公司反而将用户推给开源项目。这个开源项目是志愿者运营和维护的,而这家公司(苹果)从没有赞助过一分钱。”
需要明确的是,Daniel Stenberg 只是针对苹果利用 Curl 获利并将用户需求推给 Curl 的做法感到不满,他选择将 Curl 免费开源时也并非是为了挣钱,而是“曾在开源中受益匪浅,因此想通过开源的方式回馈给开源世界,让世界变得越来越美好。”
网友:“这就是开源丑陋的一面”
由 Apache Log4j2 揭示的开源项目维护者艰难处境的问题,在网络上引起了轩然大波。
有人怀疑这只是项目维护者推脱的理由:
“如果他们得到报酬,他们会写出更好的代码吗?荒谬!”
也有人为项目维护者打抱不平:
“也许不会,但至少有一些补偿可以让他们忍受那些免费使用他们的软件并在软件损坏时受到无尽抱怨的吃力不讨好。要知道,自由软件的全部意义在于您拥有源代码并且可以自由地自行修复它。”
也有人感慨这就是开源的现状:
“不幸的是,这就是开源丑陋的一面。当项目顺利进行时,一切都很好。但是当项目出问题了,每个人都会抱怨。可笑的是,通常抱怨最多的人贡献最少,这就导致那些拥有一些世界上最常用项目的才华横溢的开发人员,几乎没有得到认可。”
专家:安全漏洞无法避免
针对这场争议,CSDN 也向几位开源领域的专家询问了对此事的看法。
开源社理事长庄表伟指出,软件出现 Bug、漏洞或者安全风险,本质上是一个技术问题,无法避免,只能尽快修复。而随着软件世界使用的开源软件越来越多,引入的风险就会不断增加,同时一款开源软件被使用的范围越来越广,这款开源软件出现漏洞所造成的损失也会不断增大。
基于此,构成了对“开源供应链风险趋势”的基本判断或出发点,即提升风险应对能力,识别潜在风险源头和预防风险发生:
1、提升风险应对能力,首先是企业的责任(不能假设自己下载回来的开源软件,就是安全的,自己要有风险意识,要能应对各种突发状况。)
2、识别潜在风险源头,这个是整个开源生态的责任,最好的做法是类似于OpenSSF的组织,开展系统性的工作。(这方面刚刚起步,但是未来应该是开源领域的重要趋势)
3、预防风险发生(当然还包括及时修复 Bug),这个是开源社区(开发团队)的工作,大家可以帮助他们改进,但是本质上还是要靠他们自己。
庄表伟认为需要明确的一点是:遇到大型开源漏洞事件,就去讨论“该不该给开源软件捐钱”,有些本末倒置。
Apache 软件基金会董事、Apache SkyWalking 创始人吴晟则指出,Apache Log4j2 等部分底层技术的开源项目无法直接进行商业相关活动,因此很难长时间收到大量的捐款及资助,这也是开源软件的性质使然。但需要注意的是,这与漏洞本身并没有逻辑上的关系:“心情可以理解,但确实不是这个道理。”
他表示,此次 Apache Log4j2 的 Bug 是一个很明显的安全漏洞,但也是多维度原因造成的,包括 log4j 2 默认打开了JNDI,以及 JVM 是否也打开了JNDI 参数等。而安全漏洞其实每天都有很多,这次是因为 Apache Log4j 2 的适用范围广、漏洞注入简单才有了广泛的报道,因为即便是强大的操作系统如 Linux、甚至是商业项目 Windows 都被发现有很多安全漏洞。吴晟补充道:“Apache Log4j 建于 2003 年,一个快 20 年、几乎和 Apache 基金会同岁的项目,其持续性和持续参与都是已经被时间证明过的。我觉得大家更多应该思考怎么看待开源,怎么去 Follow 开源社区以及参与开源。”
SphereEx CEO、Apache ShardingSphere PMC Chair 张亮认为,能够长久坚持的开源项目维护者大多有开源情怀,和赞助人多少没有直接关系。而开源项目由于源码公开,难免会存在安全漏洞,此时那些所谓“白嫖”的公司有责任修复他们自己的业务代码,没有为 log4j2 社区负责的责任,但同样地,他们也无权向 log4j2 社区追责。如果要追责,此次用非合规手段爆出安全漏洞的公司和团队,应负有不可推卸的责任。
对于如何加强开源项目的可持续性,张亮认为有商业公司兜底和提供服务的开源项目,在连续性上会比较占优。目前有一些使用开源项目创业的公司,这些公司确实能为开源项目维护者提供全职化的可能。在使用开源的公司,还是在全职化的开源产品维护公司工作,是开发者自由的选择。专业化和全职化开源项目,不是必须的,但确实是能为开源项目提供更好保障的方案之一。
白鲸开源联合创始人、Apache DolphinScheduler PMC Chair、Apache 孵化器导师代立冬:“很多开源项目都是靠爱发电的,开源并没有大家看起来的那么光鲜,其实是非常辛苦的。”他表示,在公司预算和允许的情况下,给予必要的赞助是非常值得鼓励的行为,这样才能使开源维护者们持续有动力维护迭代开源项目。
但他也补充道,开源要找到一个正确的商业模式将开源和商业有机结合起来,才可以让一个项目长期繁荣,靠爱发电不是长久之计。项目要有一个很好的产品调性,有商业上的刚需和痛点才有机会做全职;其次需要有繁荣的开源社区,这样社区里就会有愿意付费的潜客和合作伙伴。
参考链接:
https://www.wired.com/story/log4j-flaw-hacking-internet/
https://twitter.com/yazicivo/status/1469349956880408583