開(kāi)源軟件安全挑戰(zhàn)依然存在但風(fēng)險(xiǎn)可控

Maria Korolov

使用開(kāi)源組件節(jié)省了開(kāi)發(fā)人員的時(shí)間和企業(yè)成本。換句話說(shuō)，還是有市場(chǎng)的。本文簡(jiǎn)要介紹怎樣提高開(kāi)源代碼的安全性。

今年的Equifax泄露事件給我們敲響了警鐘，開(kāi)源軟件和組件雖然有很多好處，但卻給企業(yè)安全帶來(lái)了巨大的風(fēng)險(xiǎn)，特別是在維護(hù)不當(dāng)?shù)那闆r下。

所有縱向行業(yè)各種規(guī)模的企業(yè)現(xiàn)在都在使用開(kāi)源軟件。有開(kāi)源操作系統(tǒng)、生產(chǎn)效率軟件、管理員和開(kāi)發(fā)人員的工具，以及企業(yè)用來(lái)開(kāi)發(fā)自己的軟件的代碼庫(kù)。甚至商業(yè)軟件通常也是在開(kāi)源代碼的基礎(chǔ)上開(kāi)發(fā)的。

Kudelski安全公司的首席技術(shù)官Andrew Howard表示：“我看到開(kāi)源軟件在企業(yè)中的應(yīng)用越來(lái)越廣泛。隨著企業(yè)轉(zhuǎn)向敏捷方法，開(kāi)源變得更有價(jià)值，并且有很多可供使用的工具。您可以注意一下剛剛進(jìn)入市場(chǎng)的軟件開(kāi)發(fā)新手，他們經(jīng)過(guò)培訓(xùn)，非常適應(yīng)開(kāi)源技術(shù)。”

開(kāi)源代碼的安全優(yōu)勢(shì)

Howard說(shuō)，開(kāi)發(fā)人員非常依賴于開(kāi)源軟件，尤其愿意采用有大規(guī)模團(tuán)隊(duì)進(jìn)行維護(hù)的大型開(kāi)源項(xiàng)目。此外，還可以通過(guò)很多相關(guān)方來(lái)保證安全。他說(shuō)：“這是使用開(kāi)源軟件的主要優(yōu)勢(shì)，而不僅僅是為了降低成本。理論上有更多的相關(guān)方關(guān)注它。”盡管他補(bǔ)充說(shuō)，這不適用于小項(xiàng)目或者代碼庫(kù)，“有些軟件還沒(méi)有相關(guān)的社區(qū)。”

開(kāi)源軟件的另一個(gè)安全優(yōu)勢(shì)是，如果有問(wèn)題，企業(yè)可以立即打開(kāi)它并進(jìn)行修改。Synopsys公司的開(kāi)源解決方案經(jīng)理Mel Llaguno說(shuō)：“如果代碼是根據(jù)專有協(xié)議授權(quán)的，那企業(yè)通常必須等待供應(yīng)商的回應(yīng)。”

為什么開(kāi)源軟件會(huì)帶來(lái)安全威脅？

Synopsys管理的Coverity是一項(xiàng)免費(fèi)服務(wù)，用于掃描開(kāi)源軟件的漏洞。Llaguno說(shuō)：“總體上，開(kāi)源軟件的質(zhì)量一直在穩(wěn)步提高。我們的掃描項(xiàng)目涉及到大約7.5億行開(kāi)源代碼，發(fā)現(xiàn)了110萬(wàn)個(gè)漏洞——并且已經(jīng)解決了65萬(wàn)個(gè)漏洞。”他補(bǔ)充說(shuō)，很多項(xiàng)目，尤其一些小項(xiàng)目，都不會(huì)掃描它們的代碼以發(fā)現(xiàn)潛在的安全漏洞。

例如，Black Duck軟件公司跟蹤了55萬(wàn)多個(gè)項(xiàng)目中的100多億行開(kāi)源代碼。而且這還不是全部。Linux基金會(huì)報(bào)告說(shuō)，已經(jīng)有310億行代碼被提交給了開(kāi)源代碼庫(kù)。

誰(shuí)在使用所有這些開(kāi)源代碼？所有人。根據(jù)最新的Black Duck報(bào)告，目前96%的商業(yè)應(yīng)用軟件中都有開(kāi)源組件。應(yīng)用程序平均有147個(gè)不同的開(kāi)源組件，67%的應(yīng)用程序使用了含有已知漏洞的組件。

美國(guó)政府資助了公共漏洞枚舉（CVE）名錄和國(guó)家漏洞數(shù)據(jù)庫(kù)。2017年，CVE名錄中新增了8千多個(gè)漏洞，創(chuàng)歷史新高。

那么，為什么企業(yè)要使用開(kāi)源軟件呢？Synopsys公司的Black Duck安全策略師Mike Pittenger指出：“在一般的應(yīng)用軟件中，三分之一以上的代碼都是開(kāi)源的。如果想替換這些三分之一的代碼庫(kù)，那么您將不得不增加開(kāi)發(fā)團(tuán)隊(duì)的人手，開(kāi)發(fā)時(shí)間會(huì)延長(zhǎng)50%——在當(dāng)今的環(huán)境下，我認(rèn)為這不是可行的選擇。”

以倫敦的Skyscanner有限公司為例，該公司生產(chǎn)旅行搜索引擎。公司習(xí)慣于在.NET這樣的私有封閉的平臺(tái)上運(yùn)行。Skyscanner的安全工程師Alex Harriss說(shuō)，過(guò)去幾年中，公司轉(zhuǎn)向采用各種開(kāi)發(fā)語(yǔ)言和技術(shù)，包括開(kāi)源。他說(shuō)：“這意味著我們的工程師現(xiàn)在可以參考多種開(kāi)源庫(kù)，幾分鐘內(nèi)就能夠部署好代碼。”

Harriss說(shuō)，但這也帶來(lái)了安全難題。他說(shuō)：“我認(rèn)為事實(shí)上有一種錯(cuò)誤的導(dǎo)向，即作為開(kāi)源，社區(qū)已經(jīng)對(duì)這些庫(kù)進(jìn)行了安全漏洞檢查。實(shí)際情況并非總是如此。”

他說(shuō)，很多文件齊全的庫(kù)中都存在著已知的漏洞。由于工程師只需從這些庫(kù)中提取代碼并進(jìn)行部署，因此這就帶來(lái)了可見(jiàn)性問(wèn)題。他說(shuō)：“我們根本不清楚我們產(chǎn)品有多大的依賴性。”

需要對(duì)開(kāi)源軟件安全進(jìn)行詳細(xì)的盡職調(diào)查

并非Skyscanner一家是這樣。據(jù)最新的Veracode報(bào)告，只有28%的企業(yè)進(jìn)行定期分析，找出哪些組件被構(gòu)建到了他們的應(yīng)用程序中。隨著開(kāi)源代碼使用的越來(lái)越多，風(fēng)險(xiǎn)面也在擴(kuò)大。

在開(kāi)源代碼中不斷發(fā)現(xiàn)新的漏洞，很多項(xiàng)目還沒(méi)有發(fā)現(xiàn)和修復(fù)問(wèn)題的機(jī)制。據(jù)Snyk最近對(duì)開(kāi)源代碼維護(hù)人員的調(diào)查，44%的受訪者從未進(jìn)行過(guò)安全審計(jì)，只有17%的受訪者說(shuō)他們有高水平的安全技能。

也沒(méi)有標(biāo)準(zhǔn)的方法來(lái)記錄開(kāi)源項(xiàng)目的安全性。在GitHub上的40萬(wàn)個(gè)公共代碼庫(kù)中，只有2.4%有安全文檔。

那么，如果修復(fù)了問(wèn)題，常常無(wú)法找到并通知老代碼的所有用戶。Black Duck的Pittenger說(shuō)：“開(kāi)源社區(qū)并不知道誰(shuí)在使用他們的組件。”

據(jù)Snyk調(diào)查，88%的開(kāi)源代碼維護(hù)人員在發(fā)布聲明中添加了與安全相關(guān)的聲明，34%的維護(hù)人員不贊成使用不安全的老版本。25%的維護(hù)人員表示，他們根本沒(méi)有精力來(lái)通知用戶有漏洞，只有10%的維護(hù)人員向CVE提交了文件。

Snyk有限公司的首席執(zhí)行官和聯(lián)合創(chuàng)始人Guy Podjarny指出，很多人并不知道CVE過(guò)程是怎樣工作的，或者沒(méi)有時(shí)間去了解它。他說(shuō)：“例如，在JavaScript中，我們跟蹤的漏洞中只有13%的漏洞有一個(gè)CVE編碼。其余的則只是被記錄為缺陷。”

Snyk的安全研究部門(mén)通過(guò)查找發(fā)布聲明以及GitHub和Apache問(wèn)題跟蹤系統(tǒng)中的線索，來(lái)尋找開(kāi)源庫(kù)安全問(wèn)題的跡象。研究結(jié)果發(fā)布在漏洞數(shù)據(jù)庫(kù)中，并且可能的話，Snyk也會(huì)將其提交給CVE名錄。

然而，要獲得CVE是一個(gè)比較復(fù)雜的過(guò)程，需要委員會(huì)同意提供詳細(xì)的CVE，還需要與項(xiàng)目所有者達(dá)成協(xié)議。Podjarny說(shuō)：“目前這種方法的運(yùn)作方式還形不成規(guī)模。”

最后，如果發(fā)現(xiàn)并修補(bǔ)了漏洞，并且公布了補(bǔ)丁，那么使用這些代碼的企業(yè)也不一定知道自己是不是有漏洞，或者難以找到所有實(shí)例中的漏洞。例如，今年影響很大的Equifax泄露事件涉及到Apache Struts開(kāi)源軟件的一個(gè)漏洞。在泄露事件發(fā)生幾個(gè)月之前就發(fā)布了補(bǔ)丁，Equifax雖然知道補(bǔ)丁，但仍然沒(méi)有及時(shí)打上補(bǔ)丁。

另一個(gè)問(wèn)題是，有些公司還在運(yùn)行老版本的代碼，由于兼容性問(wèn)題、合規(guī)或者其他原因，無(wú)法遷移到最新版本。據(jù)Snyk，只有16%的漏洞補(bǔ)丁能后向應(yīng)用于其他版本。

發(fā)現(xiàn)并修復(fù)

在理想情況下，一旦有了安全補(bǔ)丁，應(yīng)用程序能夠在不需要任何干預(yù)的情況下立即更新安全補(bǔ)丁。然而，在實(shí)踐中，并非總是如此。

相反，企業(yè)需要有一種方法，找到其環(huán)境中的所有源代碼實(shí)例，不斷更新列表，幫助開(kāi)發(fā)人員避免使用老的、不安全的庫(kù)，最終在發(fā)現(xiàn)新漏洞后及時(shí)打上補(bǔ)丁。

Skyscanner的Harriss說(shuō)：“只有當(dāng)您知道漏洞在哪里時(shí)，才能從自己的產(chǎn)品中去除漏洞庫(kù)，而且在產(chǎn)品生命周期中，這項(xiàng)工作做得越早，成本就越低，也越容易。”

很多公司轉(zhuǎn)向Snyk、Black Duck和Veracode這樣的供應(yīng)商以尋求幫助。Skyscanner也是這樣做的。Harriss說(shuō)：“Snyk讓我們看到在哪些項(xiàng)目中使用了哪些補(bǔ)丁包，這些項(xiàng)目有哪些漏洞，是怎樣引入到我們代碼中的。”此外，開(kāi)發(fā)人員在編寫(xiě)代碼時(shí)，Snyk會(huì)立即向他們提示哪里有漏洞，這樣便可在代碼投產(chǎn)之前解決這些問(wèn)題。

因?yàn)楹茈y追蹤正在使用的所有代碼，因此把開(kāi)源漏洞掃描功能集成到開(kāi)發(fā)過(guò)程中對(duì)大型企業(yè)尤其重要。Veracode研究副總裁Chris Eng說(shuō)：“和我們打交道的大多數(shù)公司都不知道他們所擁有的全部應(yīng)用程序，這有點(diǎn)嚇人。”

當(dāng)Veracode進(jìn)行漏洞掃描時(shí)，公司會(huì)上傳二進(jìn)制代碼，Veracode會(huì)參照國(guó)家漏洞數(shù)據(jù)庫(kù)進(jìn)行檢查。為幫助公司發(fā)現(xiàn)哪些應(yīng)用程序可能存在問(wèn)題，Veracode還可以掃描公司的周界。Eng說(shuō)：“不是要找到漏洞還沒(méi)有被暴露的內(nèi)部應(yīng)用程序，而是那些由于發(fā)現(xiàn)了漏洞從而能降低風(fēng)險(xiǎn)的應(yīng)用程序。”

他還補(bǔ)充說(shuō)，企業(yè)還可以使用一些網(wǎng)絡(luò)工具來(lái)了解內(nèi)部運(yùn)行情況，但如果網(wǎng)絡(luò)是分段的，則可能會(huì)出現(xiàn)盲點(diǎn)。公司還可以在端點(diǎn)設(shè)備上安裝代理來(lái)跟蹤運(yùn)行情況。Eng說(shuō)：“如果不在所有的設(shè)備上都安裝代理，可能還會(huì)有盲點(diǎn)。沒(méi)有萬(wàn)能的方法，這就是為什么這個(gè)問(wèn)題非常棘手的原因。”

對(duì)于Equifax來(lái)說(shuō)，這肯定也是一個(gè)難題去年十月份，前首席執(zhí)行官Richard Smith告訴國(guó)會(huì)，該公司的信息安全部門(mén)進(jìn)行了掃描，尋找導(dǎo)致最終泄露事件的Apache Struts漏洞。他說(shuō)，掃描“沒(méi)有發(fā)現(xiàn)任何版本的Apache Struts受到這個(gè)漏洞的影響，這個(gè)漏洞在Equifax網(wǎng)絡(luò)應(yīng)用程序中存留的時(shí)間比預(yù)期要長(zhǎng)得多。”

Black Duck的Pittenger說(shuō)：“必須確保這一工具能夠掃描到環(huán)境中的所有服務(wù)器。”即使掃描是全面的，準(zhǔn)確的，也會(huì)給企業(yè)帶來(lái)大量的管理開(kāi)銷。如果開(kāi)發(fā)過(guò)程中沒(méi)有內(nèi)置安全檢查功能，那么必須持續(xù)進(jìn)行這類掃描，分別檢查而且還要不斷檢查應(yīng)用程序是否有漏洞。

開(kāi)發(fā)人員不僅會(huì)在更新應(yīng)用程序時(shí)引入新的漏洞庫(kù)，而且還會(huì)在以前認(rèn)為安全的老庫(kù)中發(fā)現(xiàn)新漏洞。Eng說(shuō)：“軟件不像酒那樣越老越香。而是像牛奶一樣會(huì)變質(zhì)。”

Eng說(shuō)，開(kāi)發(fā)人員很少回頭去檢查他們?cè)谂f項(xiàng)目中使用的庫(kù)。他說(shuō)：“我下載當(dāng)前的最新版本，把它集成到我的應(yīng)用程序中，就再也不去想它了。”

Black Duck這個(gè)月以5億美元收購(gòu)了Synopsys公司，充分說(shuō)明了這一問(wèn)題目前有多重要。Denim集團(tuán)負(fù)責(zé)人John Dickson對(duì)如此大手筆的交易感到驚訝，他說(shuō)：“我敢說(shuō)，這是由市場(chǎng)決定的。我原以為這非常熱門(mén)，沒(méi)想到是如此的熱門(mén)。此次收購(gòu)真的是無(wú)人不知。”

Maria Korolov過(guò)去20年一直涉足新興技術(shù)和新興市場(chǎng)。

原文網(wǎng)址：

http：//www.csoonline.com/article/3157377/application-development/report-attacks-based-on-open-source-vulnerabilities-will-rise-20-percent-this-year.html