去年發(fā)生了一些令人震驚的攻擊，這使得開源軟件供應鏈的安全性備受質(zhì)疑。成千上萬的計算機被一個免費的安全軟件工具CCleaner故意損壞，同一周內(nèi)一群黑客向Python Package Index（PyPI）（Python的公共軟件包存儲庫）添加了故意損壞的Python庫，這些軟件包成功使得企業(yè)、政府和軍事網(wǎng)站工作的Python程序員中招。

[[230890]]

這些攻擊發(fā)生在臭名昭著的Equifax泄露事件發(fā)生后的幾個月，Equifax泄露事件利用了開源Java Web框架庫。從那以后，很多組織增加了對安全態(tài)勢的重視程度。Python軟件基金會迅速為PyPI添加了黑名單功能，防止任何人更新流行的Python軟件包。此外，GitHub開始向RubyGems for Ruby和npm for Javascript中的已知易受攻擊庫的項目維護人員發(fā)出警報，并計劃在今年晚些時候為Python添加警報。

那么，這是否意味著開源軟件可以安全地再次使用？

答案是不完全是，企業(yè)為了更好地保護自己，需要了解開源軟件供應鏈的工作原理，我們生活中幾乎所有的設備都包含一個嵌入式開源軟件和運行時庫的復雜系統(tǒng)。

開源軟件的開發(fā)任何人都可以創(chuàng)建軟件包，任何人都可以使用其他軟件包。這種混雜的共享可以提高每個人的工作效率，開發(fā)人員可以借用并改進其他人的工作，從而減少必須單獨編寫的代碼量。

不幸的是，要理解別人上傳的軟件非常困難，人們可能會惡意地改變供應鏈中的數(shù)據(jù)包或庫。以PyPi為例，攻擊者會使用“typosquatting”，他們上傳了一個名為“bzip”的庫，模仿“bz2file”。很多臨時使用庫的用戶不知道其中的差異，當他們使用修改后的庫時，數(shù)據(jù)包的開發(fā)者能夠看到這些庫的使用。在另一次攻擊中，有人簡單地提交了現(xiàn)有標準庫軟件包的新版本，名稱相同但是內(nèi)容是惡意的版本。

讓事情變得復雜的原因之一是，普遍的感染往往不是攻擊者的動機。以CCleaner為例，超過10萬臺感染機器只是附帶損害，襲擊者初始的目標只是大約18家公司，他們需要的只是這些公司使用的一個妥協(xié)包。

Python基金會，GitHub和其他公司已經(jīng)在采取這些類型的漏洞方面采取了重要措施，但企業(yè)和開源社區(qū)可以做更多的事情來阻止它們。

開源軟件的開發(fā)任何人都可以創(chuàng)建軟件包，任何人都可以使用其他軟件包。這種混雜的共享可以提高每個人的工作效率，開發(fā)人員可以借用并改進其他人的工作，從而減少必須單獨編寫的代碼量。

企業(yè)可以運行自己的私有數(shù)據(jù)包庫，這些庫通常由IT組織進行控制和審計。通過這種方式，他們可以控制使用哪些版本的軟件包，并且會向正確的服務通知需要解決的安全漏洞。另一種技術(shù)是版本固定（version pinning），其中組織將庫限制為已知的運行良好的版本。組織必須主動管理版本控制和依賴關(guān)系，但有多種工具可用于簡化和自動化流程。這可以解決現(xiàn)有軟件包的新惡意版本，以及在當前版本中發(fā)現(xiàn)主要漏洞的情況下每個人使用新版本的情況。

與此同時，開源社區(qū)必須克服對軟件包的無限制訪問，這是一項艱巨的任務，因為這種訪問使得許多這樣的社區(qū)保持高效和創(chuàng)新能力。安全掃描和軟件包署名是商業(yè)應用商店（如Apple和Windows）使用的技術(shù)，但開源社區(qū)難以擴展這些技術(shù)。 盡管如此，簡單地管理一個軟件包庫，即使沒有署名，也可能是一個有效的保障。

無論你在開源供應鏈中的角色如何，如果我們要防范未來的攻擊，必須對安全性給予更多的關(guān)注。安全專業(yè)人員通過默默無聞的方式熟悉安全性，他們錯誤地認為，如果軟件很難理解，就很難發(fā)起攻擊。去年的攻擊表明，通過濫交（將開放源代碼無管理地納入軟件供應鏈）帶來的不安全感是我們面臨的新的問題。