科技巨头联合推出3000万美元开源软件安全计划
科技界几大巨头齐聚峰会,提出多条旨在改善开源软件安全的建议。由于近期多起供应链网络攻击均由开源代码中的漏洞所致,在美国政府的支持下,Linux基金会和开源软件安全基金召开了开源安全峰会。
研究表明,去年软件供应链网络攻击增长650%,且多由开源软件库漏洞利用所致
峰会于5月12日举行,恰逢拜登总统关于改善国家网络安全的行政命令发布一周年。来自37家公司的90多名高管,以及美国国家安全委员会(NSC)和网络安全与基础设施安全局(CISA)等六个政府机构的多位官员出席了本次峰会。亚马逊、爱立信、谷歌、英特尔、微软和VMWare等科技巨头均参与了峰会提出的计划,并承诺拿出总共3000万美元资助这项包含10点的开源软件安全改善计划。
峰会上披露的计划内容包括促进开发人员培训、引入数字签名和审计1万个最流行的开源代码库。开源专家认为该计划的某些元素颇具前景,但其他一些条目可能过于僵硬死板,未必有益于开源社区。
为什么需要改善开源安全?
计划中的十条提案由Linux基金会和开源软件安全基金会提出,旨在标准化开源社区的安全操作。软件开发人利用代码库现象十分普遍。开源安全供应商Sonatype的调查研究发现,平均而言,每个应用程序中85%都由开源代码构成。
一旦遭黑客利用,这些代码中的漏洞可导致重大问题。去年圣诞节前爆出的Log4Shell漏洞就是近期颇为引人注目的案例。Log4Shell漏洞存在于一个广为使用的Java库中,黑客利用这个漏洞实施供应链攻击,数家全球大型软件供应商受损。
根据专业安全提供商Sonatype的研究,最近几年全球软件供应链攻击猛增,去年甚至同比暴增650%。
疫情助推软件供应链攻击暴增
下一代软件供应链攻击数量(2017~2021)
如何改善开源软件安全?
十点计划中列出的潜在解决方案包括:向希望为开源社区做出贡献的软件开发人员提供免费的安全编码课程;实现数字签名,从而验证开发人员并摒除恶意黑客;以及对最常用的开源组件实行第三方安全检查。
安全专家表示,这项计划应该让最终用户承担更多责任。开源安全测试平台Checkmarx首席信息安全官Peter Chestna辩解道:“问题是,所有这些规则针对的都是软件开发人员,往他们身上压了更重的担子。这里面没有任何一点是针对消费者的。”Chestna称,开源代码的用户也应该承担一些责任,“要在[漏洞]或恶意代码披露之时拿出个行动计划。”
Sonatype首席技术官Brian Fox对此表示赞同:“软件为人而生,本就容易出错。因此,如果你不对自己所消费的东西有点主人翁意识,没有设置适当的程序来响应[安全事件],那就无所谓[软件]出点啥事儿了,反正这东西永远不会完美。”
加强开源软件安全培训现实吗?
Chestna认为,该计划中提出的一些想法可能会使软件开发人员远离开源,因为在可以为代码库做出贡献之前给开发人员强加上教育标准可能会妨碍他们志愿贡献。
他解释道:“开源社区中的一些开发人员是付费贡献者。但还有很多不过是出于兴趣的开发人员。难道我们现在要拒绝他们,跟他们说‘你不能再为开源做贡献’了?我觉得这种做法是错误的。”
不过,Fox认为,免费开源教育最终会见成效。“作为开发人员,如果你连最基本的培训标准都不满足,那你可能会更难以找到工作。在某些行业,仅这一项就是激励。这是在逼人吗?并不,但肯定会大力推动他们,让他们有能力做到这一点。”
Chestna称,另一个争议点是对1万个流行代码库的审计,一旦包含子库,审计可能会扩展到成百上千万段代码。
而且,一旦这些代码受到保护,其他库势必会成为黑客的目标。“保护1万个最流行的代码库相当于要锁上房子正面的门窗。但后门毫无防护。我们不过是在转移问题。”
Chestna认为,这项计划总体而言走在正确的轨道上,但对于开源社区来说可能过于死板僵硬。“我觉得,其中一半是在朝正确的方向前进,理应重视。但另外一半就在讨论强制人们去做他们压根儿不想做的事了。”
无论如何,这都是保护开源软件之旅的第一步。Fox表示:“开源软件安全是一场马拉松,不是百米冲刺。因此,其中一些东西需要很长时间才能在整个生态系统中有效推广。”
参考阅读