通過重寫開源和第三方組件開發(fā)使用的腳本來降低企業(yè)的風(fēng)險(xiǎn)。

首席信息安全官(CISO)的工作正受到密切關(guān)注，面對(duì)持續(xù)的挑戰(zhàn)，他們必須最大限度地利用安全舉措來確保企業(yè)資產(chǎn)得到充分保護(hù)，其工作的重點(diǎn)在于嚴(yán)格控制用戶對(duì)關(guān)鍵數(shù)據(jù)和資源的訪問。但對(duì)于管理這些數(shù)據(jù)(包括加密、身份驗(yàn)證和權(quán)限檢查使用的代碼)訪問的軟件，卻很少得到這種相應(yīng)水平的關(guān)注。

[[120025]]

面對(duì)資源限制，企業(yè)越來越多地使用開源庫和第三方組件來開發(fā)復(fù)雜的應(yīng)用。為什么重寫已經(jīng)存在的功能呢?因?yàn)楹苌儆衅髽I(yè)會(huì)像檢查內(nèi)部創(chuàng)建的軟件一樣嚴(yán)格檢查這些代碼。

由已經(jīng)離職的老員工維護(hù)的應(yīng)用和數(shù)據(jù)庫，以及通過合并和收購獲取的軟件系統(tǒng)，都會(huì)帶來安全隱患。有些IT團(tuán)隊(duì)可能會(huì)假定這些代碼是安全的，因?yàn)閯e人已經(jīng)完成了檢查缺陷和漏洞的工作。而OpenSSL加密軟件庫中的Heartbleed漏洞讓我們明白，單純地依賴別人來正確部署和提供安全性可能讓企業(yè)和客戶數(shù)據(jù)處于風(fēng)險(xiǎn)之中。

對(duì)于使用開源和第三方軟件涉及的風(fēng)險(xiǎn)，安全管理人員該發(fā)揮怎樣的作用呢?根據(jù)《高管的觀點(diǎn)：(ISC)2全球信息安全工作力CXO報(bào)告》(The View From the Top: (ISC)2 Global Information Security Work-force CXO Report)顯示，在2013年接受采訪的1634名安全高管列出的威脅問題中，應(yīng)用漏洞名列榜首，同時(shí)它也是最少受關(guān)注的問題。只有7%的受訪者花了很多時(shí)間在軟件安全上。

和企業(yè)移動(dòng)和BYOD要求一樣，軟件安全政策合規(guī)低得令人沮喪。修訂安全政策對(duì)決定著企業(yè)的賠償責(zé)任和漏洞問題的開發(fā)做法會(huì)有什么影響?

盡早且經(jīng)常發(fā)布

首席信息安全官面臨的困境是：確保軟件項(xiàng)目?jī)?nèi)使用的代碼的安全性，同時(shí)不會(huì)惹怒企業(yè)業(yè)主以及開發(fā)團(tuán)隊(duì)，要知道，當(dāng)預(yù)算緊張又需要按時(shí)交付應(yīng)用和更新時(shí)，開發(fā)團(tuán)隊(duì)通常承受著巨大壓力。對(duì)于不安全的軟件，隨著威脅逐漸超過其帶來的優(yōu)勢(shì)，安全人員需要重新評(píng)估使用開源軟件和第三方組件涉及的風(fēng)險(xiǎn)，并研究如何能最好地管理它們。

開源軟件的安全性和質(zhì)量(這是企業(yè)選擇使用這些庫和組件的兩個(gè)原因)取決于每個(gè)項(xiàng)目的開發(fā)人員團(tuán)隊(duì)的規(guī)模是否足以大得讓人能夠發(fā)現(xiàn)缺陷和漏洞。這即是所謂的林納斯定律——“足夠多的眼睛，就可讓所有問題浮現(xiàn)”，該概念根據(jù)Linus Torvalds的名字命名，他是Linux的創(chuàng)造者，也是自我修正、社區(qū)驅(qū)動(dòng)的軟件開發(fā)模式的早期支持者。然而，這一理念在現(xiàn)在的威脅環(huán)境存在的問題是，發(fā)現(xiàn)和利用漏洞的金錢獎(jiǎng)勵(lì)要高于發(fā)現(xiàn)、發(fā)布和修復(fù)開源軟件漏洞的獎(jiǎng)勵(lì)。

開源安全舉措也有金錢獎(jiǎng)勵(lì)，微軟和Facebook贊助的Bug Bounty會(huì)對(duì)“提交在主要開源軟件(例如PHP、Perl和Apache httpd)中發(fā)現(xiàn)的漏洞，用以打造更安全的互聯(lián)網(wǎng)的黑客”進(jìn)行獎(jiǎng)勵(lì)。

約翰霍普金斯大學(xué)的計(jì)算機(jī)科學(xué)教授Matthew Green以及由社區(qū)資助的對(duì)TrueCrpt磁盤加密工具進(jìn)行審查工作的另一些人，提出了一個(gè)漏洞賞金計(jì)劃，作為該安全審計(jì)工作的一部分。由于不知名的“安全漏洞”，這個(gè)開源加密項(xiàng)目在5月份突然被其開發(fā)者關(guān)閉。

有關(guān)美國國家安全局的監(jiān)視活動(dòng)的新聞已經(jīng)導(dǎo)致很多國家(包括中國和其他民族國家)質(zhì)疑開源項(xiàng)目以及有美國公司故意將漏洞引入到主流安全協(xié)議和功能中，以為NSA提供后門程序。RSA(EMC公司的安全分支)、微軟和TrueCrpt都是面臨審查的公司。

企業(yè)開發(fā)團(tuán)隊(duì)在構(gòu)建應(yīng)用時(shí)，可以輕松地使用100或以上不同的開源庫、框架和工具，以及從互聯(lián)網(wǎng)復(fù)制代碼片段。2014年Sonatype開源開發(fā)調(diào)查發(fā)現(xiàn)，90%的典型應(yīng)用是由開源組件組裝，其中很多包含已知的安全漏洞。漏洞組件引入至新應(yīng)用的問題已經(jīng)非常嚴(yán)重，這已經(jīng)出現(xiàn)在OWASP的Web應(yīng)用漏洞前10名的榜單上了。

糟糕的政策 存在漏洞的軟件

研究表明，只有少數(shù)企業(yè)部署或強(qiáng)制執(zhí)行了關(guān)于使用第三方代碼的政策。Sonatype調(diào)查發(fā)現(xiàn)，在3353名受訪者中，75%表示其企業(yè)有關(guān)于代碼和組件使用的政策，但只有68%的受訪者(管理人員、架構(gòu)師和開發(fā)人員)遵守這些政策。事實(shí)上，77%的受訪者表示其企業(yè)從未禁止開源組件，即使有31%是開源軟件的受害者或者可能遭泄露事故。

顯然，負(fù)責(zé)管理企業(yè)軟件安全狀態(tài)的信息安全主管需要重新審視政策、程序，以及管理代碼和組件使用的指導(dǎo)方針，以確保其安全程序?qū)﹂_源代碼的使用擁有足夠的控制。軟件開發(fā)生命周期應(yīng)該建立起“將安全做法實(shí)際引入到開發(fā)過程中”的框架。

根據(jù)Cigital公司首席技術(shù)官Gary McGraw表示，軟件安全組(SSG)應(yīng)該監(jiān)管應(yīng)用安全，SSG屬于安全部門，并作為孤島式安全團(tuán)隊(duì)和開發(fā)團(tuán)隊(duì)之間的中介。SSG的主管應(yīng)該由董事會(huì)來委任，以確保安全代碼被視為企業(yè)的重要組成部分;它是企業(yè)管理流程中的必要費(fèi)用之一，且等同于其他業(yè)務(wù)驅(qū)動(dòng)因素。Cigital的成熟模型中構(gòu)建安全(BSIMM)調(diào)查使用了67個(gè)真正軟件安全舉措的數(shù)據(jù)，這些數(shù)據(jù)來自于美國銀行、EM、富達(dá)、匯豐銀行、微軟、McAfee、Salesforce和Zynga等，該調(diào)查發(fā)現(xiàn)，具有成熟軟件開發(fā)操作的企業(yè)通常有高級(jí)管理人員來管理軟件安全，以及SSG來管理開發(fā)程序。(在Creative Commons Shared Attribution 3.0 License下可查看BSIMM-V項(xiàng)目的數(shù)據(jù)和相關(guān)文件)

開發(fā)團(tuán)隊(duì)?wèi)?yīng)該在最開始就參與制定軟件安全政策的工作，否則遵守程度會(huì)很低。SSG和開發(fā)團(tuán)隊(duì)領(lǐng)導(dǎo)者需要商定代碼和組件選擇的具體參數(shù)，包括業(yè)務(wù)用例、支持論壇和文檔的質(zhì)量、可接受許可證，最重要的是代碼質(zhì)量。

讓開發(fā)人員負(fù)責(zé)代碼和組件選擇過程，可以讓他們的聲譽(yù)面臨壓力，這意味著他們可能需要為代碼的未來問題承擔(dān)責(zé)任。這種水平的參與度可以幫助開發(fā)團(tuán)隊(duì)意識(shí)到，速度和花哨的功能并不是最重要的編碼因素，還應(yīng)該考慮開源組件以及與內(nèi)部代碼和軟件組成的依存關(guān)系。SSG以及開發(fā)團(tuán)隊(duì)可以根據(jù)整體企業(yè)風(fēng)險(xiǎn)來確保每個(gè)代碼選擇或組件，以確定所需的安全審查范圍。#p#

符合成本效益的代碼分析

開發(fā)團(tuán)隊(duì)需要同時(shí)使用靜態(tài)和動(dòng)態(tài)代碼分析。代碼的靜態(tài)分析(常發(fā)生在執(zhí)行應(yīng)用之前)為代碼審查提供了可擴(kuò)展的能力，可以幫助驗(yàn)證編碼政策的合規(guī)性。而在正常運(yùn)行時(shí)執(zhí)行的動(dòng)態(tài)分析可以確保代碼得到正確的集成，以及按預(yù)期工作等。安全管理人員需要確保為開發(fā)人員和運(yùn)行這些工具的質(zhì)量保證測(cè)試人員提供充分的培訓(xùn)。

雖然分析工具可以完成大部分發(fā)現(xiàn)和標(biāo)記漏洞的工作，但它們并不完美，特別是對(duì)于凌亂和復(fù)雜的代碼庫。對(duì)于處理或存儲(chǔ)著敏感數(shù)據(jù)的應(yīng)用，請(qǐng)做好對(duì)其關(guān)鍵組件使用手動(dòng)代碼審查的準(zhǔn)備。如果代碼過于復(fù)雜難于理解，應(yīng)該重新考慮是否該使用或者請(qǐng)求外界的協(xié)助。而對(duì)于高技能任務(wù)，外包則更符合成本效益。有些企業(yè)的安全團(tuán)隊(duì)缺乏人力和資源，相比之下，采用基于云的掃描來測(cè)試漏洞的服務(wù)可提供對(duì)漏洞的更深入的視圖。

應(yīng)用安全測(cè)試服務(wù)也已出現(xiàn)，例如惠普的Fortify Software Security Center、Check-marx和Veracode的VAST按需服務(wù)，它們分析代碼而不需要訪問源代碼。然而，依賴于第三方服務(wù)或咨詢顧問意味著需要完全理解測(cè)試的東西以及測(cè)試情況。例如，OpenSSL有一個(gè)FIPS 140-2認(rèn)證，但FIPS認(rèn)證只檢查加密例程，而Heartbeat協(xié)議不是加密模塊的組成部分，所以它在FIPS的范圍之外。同樣重要的是要記住，一次性的認(rèn)證或?qū)彶橹粫?huì)涵蓋那個(gè)時(shí)間點(diǎn)的威脅情況，因此應(yīng)該執(zhí)行定期審查。

谷歌的單一代碼TRUNK

在獲得批準(zhǔn)后，代碼應(yīng)該存儲(chǔ)在內(nèi)部資源庫，同時(shí)，開發(fā)者工具應(yīng)被配置為只能從該資源庫審查代碼，而不是從互聯(lián)網(wǎng)。谷歌將其所有項(xiàng)目的源代碼保存在單一代碼trunk中，其所有開發(fā)人員都可以訪問這個(gè)相同的資源庫。這是版本控制的重要方面，這減少了交叉編譯注入攻擊的風(fēng)險(xiǎn)(在這種攻擊中，攻擊者感染承載組件的服務(wù)器，并使用惡意副本來替換它們)。

企業(yè)應(yīng)該記錄所有第三方代碼，包括所有依賴關(guān)系和資源，將其保存在資料庫中，并指派一個(gè)人來監(jiān)控所有相關(guān)安全郵件列表，以及獲取、測(cè)試和分發(fā)所有更新和修復(fù)。

在2013年，開源框架Ruby on Rails受到多個(gè)安全漏洞影響，這些漏洞允許遠(yuǎn)程代碼執(zhí)行。有些開發(fā)團(tuán)隊(duì)不知道該流行web應(yīng)用框架的這些關(guān)鍵警報(bào)和更新，讓其客戶和用戶面臨攻擊的風(fēng)險(xiǎn)。

漏洞將不可避免地進(jìn)入生產(chǎn)代碼，因此企業(yè)必須保存所有相關(guān)信息，例如源代碼、二進(jìn)制文件、文檔、應(yīng)急響應(yīng)計(jì)劃和第三方軟件的許可條款，以允許對(duì)應(yīng)用的發(fā)布后的維護(hù)。企業(yè)應(yīng)該部署應(yīng)急響應(yīng)計(jì)劃來處理關(guān)鍵補(bǔ)丁修復(fù)。互聯(lián)網(wǎng)上的所有應(yīng)用都需要快速的響應(yīng)來防止攻擊者成功地利用新發(fā)現(xiàn)的漏洞。

企業(yè)現(xiàn)在依賴于可靠的安全的軟件。在應(yīng)用開發(fā)過程中使用開源代碼可以帶來效率、成本和安全方面的好處，但對(duì)這些代碼的審查需要更實(shí)際的項(xiàng)目時(shí)間表，以及一定的預(yù)算來支付工具和培訓(xùn)費(fèi)用。通過維護(hù)良好的資源庫來自動(dòng)化政策執(zhí)行可以讓開發(fā)人員保持足夠的開發(fā)靈活性，同時(shí)減少應(yīng)用的復(fù)雜性和漏洞。如果企業(yè)使用過時(shí)的且不能強(qiáng)制執(zhí)行的軟件安全政策，也不獎(jiǎng)勵(lì)那些對(duì)代碼維持良好控制的開發(fā)人員，那么將毋庸置疑地在未來面臨更高的風(fēng)險(xiǎn)。