其他
开源基金会必须合作以防止下一次Log4Shell混乱
| 作者:Brian Behlendorf
| 编辑:金心悦
| 设计:朱亿钦
|责编:王玥敏
像 Apache 软件基金会、Linux 基金会、Python 基金会等组织,为他们的 OSS 开发人员社区提供法律、基础设施、营销和其他服务。在许多情况下,这些组织的安全工作资源不足,并且由于害怕吓跑新的贡献者,在设置标准和需求以减少重大漏洞的机会方面受到限制。太多的组织没有申请筹集到的资金,也没有设置过程标准来改进他们的安全实践,并且不明智地偏向于代码的数量而不是质量。
“像现代社会运作的中心一样行动”是什么样子的?以下是一些开源软件基金会可以做的事情来降低安全风险:
上述做法都不是为了向开发者支付更多报酬,或者将资金直接从软件用户转移到开发者身上。不要误会我的意思,一般来说,开源开发者和支持他们的人应该得到更多的报酬和更多的赞赏。然而,如果你只是把更多的钱塞进他们的口袋,他们就会编写更安全的代码,这对大多数维护者来说是一种侮辱。与此同时,当每个下游用户都认为这些做法已经到位,由其他人完成并支付费用时,可以说普遍的悲剧发生了。
应用这些安全实践并提供解决这些问题所需的资源,是越来越多的基金会为他们的社区所做的事情。基金会应该开始为其托管的和成熟的项目建立安全相关的需求。他们应该从利益相关者那里筹集所需的资源,对他们最重要的项目进行定期付费审计,扫描工具和所有项目的 CI,并在跨项目安全团队中至少有一些付费的工作人员,这样关键的时间响应就不会留给单个志愿者。从长远来看,基金会应该考虑提供资源,将关键项目或代码段转移到内存安全的语言中[4],或者为更多的测试提供奖励。
Apache 软件基金会似乎在这方面做得很好,让我们清楚一点。尽管在感恩节之前收到了通知,但他们的志愿安全团队与 Log4j 维护者一起工作,并迅速做出了反应。Log4j 在其 CI 流水线中也有近 8000 个通过的测试,但即使所有这些测试都没有发现这个漏洞可能被利用的方式。一般来说,Apache 项目根本不需要测试覆盖,更不用说运行这种 SAST 安全扫描或进行第三方审计(可能可以捕获了这种情况)了。
许多其他的基金会,包括那些托管在 Linux 基金会的基金会,也在努力做到这一切——这是不容易通过自由放任的哲学,许多基金会有关于代码质量,第三方代码审计和测试是不便宜的。但为了可持续发展,减少对更广泛的社区的影响,使其更有弹性,我们必须做得更好。我们必须共同努力,因为对开业软件的信任危机影响着我们所有人。
这就是 OpenSSF 出现的原因,也是我最初选择这个项目的原因。在新的一年里,你将看到我们宣布一系列新的倡议,这些倡议建立在我们为开源社区的安全“提高基础”所做的工作上。我们有效做到这一点的唯一方法是开发工具、指导和标准,这些工具、指导和标准能够鼓励开源社区采用,并且是实用的,而不是繁琐的或官僚的。我们将与其他开源项目和基金会合作,并为他们提供资助,以帮助他们改善他们的安全工作。如果你想了解我们正在做的事情,请在Twitter[5]上关注我们或以其他方式参与进来[6]。要了解我们到目前为止的进展,请阅读我们在 Linux 基金会年度报告[7]中的内容,或观看我们最近的市政厅[8]。
希望一个少四级警报的 2022 年,
参考资料:
[1]CII 最佳实践徽章:
https://openssf.org/training/courses/
https://spdx.dev/spdx-specification-is-now-an-iso-standard/
https://www.memorysafety.org/
http://twitter.com/theopenssf
https://openssf.org/getinvolved/
https://www.linuxfoundation.org/wp-content/uploads/2021_LF_Annual_Report_120721c.pdf
https://openssf.org/townhalls/
联系关于Linux基金会
相关阅读 | Related Reading
2021开源社年度报告:开心开源
官宣!2021中国开源年报震撼首发!一篇报告带你读懂中国开源的2021~