對于開源安全所面臨的挑戰，如果說有一個代表人物的話，那應該是Werner Koch，這位德國開發人員編寫了并在過去18年辛苦維持著Gnu Privacy Guard(GnuPG)——開源軟件生態系統的支柱。

在1999年首次推出后，GnuPG成為世界上使用最廣泛的開源安全工具之一，它保護著每個人的電子郵件通信。

然而，在最近幾年，Koch艱難地維持著生計。自2001年以來，他平均每年會收到估計約25000美元，但這些錢不足以支持他的工作。

根據Pro Publica報告表示，這位53歲的開發人員差點就要放棄GnuPG，而后斯諾登泄露NSA文件震驚整個世界時，讓Koch決定繼續干下去，他表示：“我太理想主義了。”

這個故事有一個皆大歡喜的結局。在ProPublica報道發表后，全世界的捐助者都跑來支援Koch。他很快實現了原先設定的137000美元籌款目標，讓他可以繼續他的工作，還聘請了一位兼職開發人員。Koch還獲得Linux基金會的核心基礎設施倡議的6萬美元一次性補助金，Facebook和在線支付處理商Stripe承諾每年提供5萬美元支持Koch的項目。

GnuPG等資金不足的項目形成了規模空前的龐大開源生態系統?，F在不斷涌現的技術開發中廣泛重復使用開源代碼，而代碼的巨大數量阻礙了安全檢查。直到最近，我們才開始面對這個問題，通常在發生安全泄露事故后，行業才會開始采取行動。

代碼能當飯吃嗎?

Koch這樣的情況并不少見。

在谷歌研究人員Neel Mehta發現Heartbleed(OpenSSL組件中嚴重的可遠程利用的漏洞)后，讓軟件社區感到非常震驚的是，OpenSSL項目主要由Stephen Henson和Steve Marquess兼職在保持改代碼的更新，該項目每年只有幾千美元的自愿捐款補償。

很多依靠開源技術的技術供應商很快就開始支援OpenSSL項目。核心基礎設施倡議幫助為Henson等OpenSSL項目工作者提供資金。亞馬遜、Adobe、思科、Facebook和谷歌也提供了資金支持。

眾目睽睽，漏洞無匿?

Heartbleed并不是第一個殺手級開源代碼漏洞。例如，Apache Struts漏洞比它早了近一年，也同樣嚴重。

在媒體的狂熱炒作下，Heartbleed可能已經開始讓人們質疑Eric Raymond關于開源質量的著名格言：“眾目睽睽，漏洞無匿。”大多數安全專家表示，這個概念比實際更理想化。

“我從來都不喜歡‘眾目睽睽’的概念，”Sonatype公司首席技術官Joshua Corman表示，“‘眾目睽睽’并不意味著這些眼睛在試圖或者有資格去尋找安全漏洞。”

Black Duck Software公司開源戰略高級主管Bill Weinberg表示，開源的“眾目睽睽漏洞無匿”只是為了粉飾開源生態系統的缺陷，這意味著在那里并不存在時刻的警惕。

“對于Shellshock，并沒有太多眼睛關注，”Weinberg在提到2014年Bash代碼中發現的嚴重漏洞時表示，“該漏洞被認為經過很好的審核，但事實證明，它并沒有那么安全，因為每個人都認為它經過嚴格審核。”

雖然我們可能喜歡假定開源代碼具有很高的完整性，但Sonatype的數據顯示了相反的結果。該公司對其托管代碼庫中開源組件的分析發現，開源組件中已知漏洞只有41%得到修復，而得到修復的問題，平均修復時間高達390天。

雖然在開源和專有軟件項目之間曾經有一條分界線，但大多數現代應用程序都是第三方軟件組件的組合，其中不乏很多開源軟件。

認真對待代碼級別的安全性

正確的響應是怎樣?無論好壞，答案在很大程度上是文化，前微軟高級戰略家，現HackerOne公司首席策略官Katie Moussouris表示，“我們需要構建安全思維模式，這對每個軟件項目(開源與否)都很重要。”

Moussouris的公司提供了一個基于Web的平臺來協助漏洞披露，包括漏洞賞金計劃。她指出，HackerOne已經針對很多開源項目提供漏洞賞金，包括PHP、Ruby on Rails、Python和OpenSSL，為漏洞披露提供獎金。

開源項目需要對安全采取更加認真和系統的方法，她說道：“你至少需要嘗試構建安全。”

Sonatype公司的Corman主張采取更嚴格的解決方案：類似于生產廠家使用的供應鏈，同時提供高品質和問責制。

就拿福特生產線來說，該公司知道所有進入其成品汽車的部件的出處。問題可以追溯到特定供應商、設施，甚至生產環節。

然而，在現代軟件開發企業，并沒有這樣的系統。幾乎所有商業軟件應用程序都在使用開源組件以及第三方公司出售的專有軟件，但軟件公司可能對代碼的質量和出處只有粗略的概念。通常情況下，漏洞的范圍和影響在災難發生后才會知道。

例如，在Shellshock的情況下，有問題的代碼可以追溯到1989年，并影響著廣泛的應用程序，從基于CGI的網絡服務器到Qmail電子郵件服務器，再到某些DHCP客戶端。在該漏洞披露數小時后就出現針對該漏洞的攻擊。

追隨領導者

Canonical、Red Hat和谷歌等商業Linuc供應商已經投入巨資來確保開源的安全性和完整性。而Netflix和Facebook等開源友好型公司已經投入相當多的資源來幫助提高開源質量。

工程部經理Jason Duell表示，在Mozilla(+微信關注網絡世界)，安全責任被分給三個團隊，一個團隊負責對發現的安全問題進行分類，第二個團隊對編譯的代碼進行黑盒測試以查找漏洞，而第三個團隊則開發安全和隱私功能。

Duell表示，在六年前他加入這間公司之前，對已開發的代碼進行嚴格的測試就已經是Mozilla的開發文化，但Mozilla已經更改了其他開發做法來應對不斷增加的開源威脅。

Duell稱：“我們意識到攻擊者正在查看我們公眾提交源代碼庫，于是我們改變了各種做法。”其中之一是，對Mozilla代碼的安全補丁在發布前會進行審核，大量新功能讓安全團隊在發布代碼前進行審計。

云計算解決方案產品經理Dustin Kirkland表示，在Canonical，一支快速增長的安全團隊在審核Canonical的代碼—總統35000軟件包，通過各種渠道發布作為Ubuntu的一部分。

與Mozilla一樣，Canonical的安全運營跨越多個不同的舉措，從功能開發到代碼審計。對于Corman的觀點，Kirkland表示，供應鏈風險是一個主要問題。Canonical投入大量資源來評估開源組件的可靠性，這些開源組件被捆綁到其核心操作系統。

Kirkland表示：“對于開源技術，我們正在考慮應該部署它還是分拆它，然后開發和推廣它。”當Canonical公司選擇分拆現有開源代碼時，該公司受到了抨擊，但Kirkland指出分拆的能力是開源的優勢之一。

“我們不打算創建自己版本的OpenSSL和GPG，”Kirkland表示，“但擁有加密庫的替代品是非常重要的。這里需要多樣性，尤其是在我們了解到這些組件多么容易受到攻擊后。”

現在都是開源化

也許開源會帶來不適，但專家稱沒有回頭路可走。Weinberg的很大一部分職業生涯都是他所謂的“信仰捍衛者”，打擊商業供應商(例如微軟)抹黑開源運動的試圖。他表示，“開源”和“閉源”之間的分隔墻很久以前就被推倒。

“現在沒有專有軟件這樣的東西了，因為很少有軟件不依賴開源，”他稱，“整個世界已經以這樣或那樣的形式轉向‘社區開發’的軟件。”

“我真的認為這是一種共同的責任，”Kirkland說道，“當你考慮到我們所有人都在開源軟件的整個堆棧中，你會希望安全成為一種共同責任，而不只是Linux基金會和Red Hat的責任。”

換句話說，Heartbleed等漏洞可能讓我們咬牙切齒，但在2015年，所有制造、使用或依賴軟件的公司都實際上是開源軟件公司，無論他們知道與否。這使得他們成為問題及其解決方案的一部分。(鄒錚譯稿)