萬億美元數(shù)字經(jīng)濟(jì)的Linux“安全債”
支撐萬億美元規(guī)模數(shù)字經(jīng)濟(jì)基礎(chǔ)設(shè)施的Linux,終于擁有了兩名全職帶薪安全工程師。
Google昨日宣布將為兩名專注Linux內(nèi)核安全的開發(fā)人員提供薪水,此舉對于Google來說雖然只是九牛一毛的資金投入,其意義卻不同尋常。
以Linux為代表的自由和開源軟件(FOSS)已成為現(xiàn)代經(jīng)濟(jì)的重要組成部分,據(jù)估計,F(xiàn)OSS在現(xiàn)代軟件中的占比高達(dá)80%-90%,任何安全問題都有可能給各行各業(yè)帶來災(zāi)難性的后果。
但令人難以想象的是,在開發(fā)安全口號響徹云天的今天,即便是Linux這樣的支柱性的開源軟件項目,也嚴(yán)重缺乏安全資源支持,甚至沒有“全職”安全人員。
Google對Linux原生安全生態(tài)或者說基礎(chǔ)安全問題的“人工救助”和呼吁,一方面說明Linux安全問題,尤其是Linux內(nèi)核安全的“安全債”已經(jīng)威脅到Google自身業(yè)務(wù),另一方面也說明,開源軟件的原生安全不是設(shè)立一個高額漏洞賞金計劃,“用錢砸”就能解決的問題,Google希望能夠釋放一個信號,吸引其他科技公司也重視并投入Linux安全。
頭號威脅:開源供應(yīng)鏈安全
對于Google以及很多依賴Linux的科技巨頭來說,緩解處于上游的Linux安全威脅變得更加緊迫,因為Google在開源軟件上的賭注越來越大,Google甚至為Linux基金會貢獻(xiàn)了Kubernetes,后者已成為云原生計算運動的關(guān)鍵。
Google員工軟件工程師Dan Lorenc說:“隨著開源在關(guān)鍵基礎(chǔ)設(shè)施中的重要性不斷提升,開源代碼工具的安全性問題也變得更為緊迫。”
Google一直在擴(kuò)大對安全的關(guān)注,這是使Google Cloud云服務(wù)產(chǎn)品對持有超敏感數(shù)據(jù)的公司客戶更具吸引力的舉措的一部分。
“希望這是一個積極的反應(yīng)。”Lorenc說道:“我們正在努力領(lǐng)先于供應(yīng)鏈攻擊的興起。”
Linux基金會的開源安全基金會(OpenSSF)與哈佛大學(xué)創(chuàng)新科學(xué)實驗室(LISH)合作發(fā)布了一份最新的報告,該報告強(qiáng)調(diào)了對包括Linux在內(nèi)的開源生態(tài)的安全性需求。
Lorenc說,隨著Linux在供應(yīng)鏈和其他大型系統(tǒng)中變得越來越重要,它自然已成為網(wǎng)絡(luò)罪犯的更大目標(biāo)。現(xiàn)在許多公司都在出售安全解決方案,但是支持Linux內(nèi)核仍被視為加強(qiáng)基本安全性的一種方法。
通過開源安全基金會,大約有20,000名貢獻(xiàn)者按自己的時間來維護(hù)和開發(fā)Linux。盡管其中許多人對安全性有些興趣,但實際投入很少,而Google的舉動可能有助于使安全性成為Linux項目的重中之重。
有趣的是,Google資助的兩個維護(hù)者Gustavo Silva和Nathan Chancellor是一對夫婦,Google希望一筆穩(wěn)定可觀的薪水可以鼓勵他們?nèi)硇耐度隠inux內(nèi)核的安全開發(fā),這對夫婦一直是此領(lǐng)域最活躍的參與者之一。
沒人愿意在安全問題上花時間
開源軟件的“安全債”不僅僅是資金問題,更主要的是觀念和時間問題。
2020年的開源貢獻(xiàn)者調(diào)查中,在被問及有哪些外部資源對開源項目安全性產(chǎn)生最大影響時,將近三分之二的受訪者提到了錯誤/安全修復(fù)程序,三分之一的受訪者提及免費的安全審核(調(diào)查參與者可以選擇多個答案)。大約25%的受訪者表示他們希望在其持續(xù)集成流程中添加與安全性相關(guān)的工具。大約18%的人要求提供有關(guān)安全軟件開發(fā)的免費課程。
顯然,安全確實是開源軟件貢獻(xiàn)者的首要任務(wù),但是,當(dāng)被問及是否將時間花在與安全有關(guān)的活動上時,只有2.3%的受訪者回答是。此外,調(diào)查對象表示他們不希望將來在安全上投入更多時間。
總而言之,雖然開源軟件貢獻(xiàn)者認(rèn)為安全性很重要,但他們不想成為負(fù)責(zé)安全性的人。他們寧愿通過第三方審核或開源安全管理工具(例如FOSS)轉(zhuǎn)移安全性相關(guān)工作負(fù)載。
報告指出,鑒于這些發(fā)現(xiàn),在可行的情況下,管理開源軟件項目的組織應(yīng)為額外的外部安全資源提供資金。安全性流程自動化程度越高,項目受到的保護(hù)就應(yīng)越多。
開源軟件安全教育市場巨大
2020年,大多數(shù)開源軟件貢獻(xiàn)者調(diào)查的受訪者通過非正式手段(而不是正式課程、公司培訓(xùn)課程或認(rèn)證)了解安全代碼開發(fā)。
最受歡迎的資源是在線論壇(StackOverflow、Reddit等),將近51%的參與者將其視為學(xué)習(xí)安全最佳做法的有用場所。博客和在線文章緊隨其后,約47%的受訪者選擇它們。(參與者可以選擇多個答案)。30%的受訪者選擇“其他”,其中最受歡迎的選項是工作經(jīng)驗、同事與共同貢獻(xiàn)者之間的知識共享。
對于開發(fā)和/或依賴開源項目的組織和個人來說,可以根據(jù)上述調(diào)查結(jié)果,選擇貢獻(xiàn)者最常用的渠道和資源提供安全教育和培訓(xùn)。例如,您可以針對特定的安全問題創(chuàng)建一個StackOverflow話題和共享中心,或者維護(hù)一個安全開發(fā)為主題的博客文章列表。
這其中蘊(yùn)含巨大的安全培訓(xùn)機(jī)會。根據(jù)FOSS的調(diào)查結(jié)果,貢獻(xiàn)者對通用安全實踐的實施差異很大。例如,幾乎80%的受訪者表示他們的網(wǎng)站支持SSL/TLS,而41%的維護(hù)者或核心參與者專注于安全性。但是,只有26%的人制定了安全策略,只有22%的人在其項目中使用了威脅模型。
【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章,轉(zhuǎn)載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權(quán)】
