开源代码是下一轮攻击潮的重灾区

 聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

然而，开源软件的普遍性也带来重大的安全风险，因为它为引入漏洞敞开大门（无意或有意）。最近匆忙修复 Log4j 代码库中的漏洞就证明了必须解决开源软件环境中的风险。

开源攻击方法备受恶意人员关注，因为这种攻击方法可广泛传播且效率高。攻击者可使用多种方法混淆对开源项目执行的恶意变更，审计代码安全的严格程度在不同的项目之间差距非常大。没有检测这些恶意变更的严格控制，则这些恶意变更可能不会得到关注，从而被发布到不同企业的软件中。

针对开源代码的攻击规模和实体不尽相同。例如，去年7月份，研究人员发现三个开源项目即 EspoCRM、Pimcore 和 Akaunting 受9个漏洞影响，而这些项目尝用于中小企业中。另外，2017年发生的 Equifax 数据安全事件正是因该公司的开源代码漏洞引发的，影响1.47亿名人员。

CISA 指出，数亿台设备可能遭Log4j 漏洞影响。鉴于该事件的重大影响，很多企业可能在分析是否应在未来开发工作中使用开源代码。

然而，完全不用开源并不现实。所有现代软件都基于开源组件构建而成，不使用开源重构这些组件将导致生产小型应用程序也需要投入大量时间和金钱。全球超过60%的网站都在 Apache 和 Nginx 服务器上运行，90%的IT负责任据称都经常使用开源代码。

我们无法避免使用开源，更现实的方法是安全和软件团队协同开发测试应用程序和软件组件的策略和流程。组织机构应将它视作由三部分组成的流程。它要求扫描并测试代码、设立解决并修复漏洞的明确流程、创建内部策略，设立解决安全问题的规则。

在通过工具测试开源环境的弹性时，静态代码分析是第一步。不过组织机构必须了解这只是测试的第一层。静态分析即在实际软件应用或程序上市之前分析源代码并解决任何所发现的漏洞。然而，静态分析无法检测出嵌入开源代码中的所有恶意威胁。另外，第二部应该是在沙箱环境中进一步测试。严格的代码审计、动态代码分析和单元测试也是一种选择（动态分析指的是在软件程序运行过程中进行审查，从而找到漏洞）。

扫描完成后，组织机构必须具有明确流程来解决一发现漏洞。开发人员可能会面临最后期限，或者软件补丁可能要求重构整个程序并定好时间表。这个流程应该可帮助开发人员通过明确给出解决漏洞和缓解漏洞措施的方法，保护组织机构的安全。

策略变更的步骤应该规划之后如何制定所有策略以及在整个流程中应该明确参与的利益相关者。另外，组织机构可为开源组件执行多种控制，如认证和鉴定程序。然而，需要了解的是它将增加其它管理费用并拖慢开源项目的开发。

整个行业都在关注未来保护开源代码的需求。Linux 基金会在去年10月份和其它行业领导者募集1000万美元资金，识别并修复开源软件中的漏洞并开发改进工具、培训、研究和漏洞披露实践。

除了行业保护基于开源代码的软件免受网络威胁外，组织机构必须采取主动的防御战略，包括为自己编写的代码和开源代码执行测试和控制程序。同时，组织机构必须开发内部策略和指南，识别使用开源软件的风险并识别用于管理该风险的控制。这样做将使他们在利用开源代码的同时创建能够弹性应对未来攻击的环境。