開源軟件無處不在。由于使用開源軟件的組織不必為通用的軟件組件重新發明輪子，它已成為技術創新的主要驅動力。

然而，無所不在的開源軟件也帶來了重大的安全風險，因為它為使用開源軟件產品的消費者有意或無意引入了漏洞。最近眾多組織紛紛應對廣泛使用的Log4j代碼庫中的嚴重漏洞就是最明顯的例子，表明必須解決開源軟件環境中的風險。

開源對網絡犯罪分子的吸引力

開源攻擊方法之所以對不法分子頗有吸引力，是由于它廣泛且高效。攻擊者可以使用各種方法來混淆對開源項目做出的惡意更改，而審核代碼以查找安全隱患的嚴格程度又因項目而異。如果沒有實施嚴格的控制措施來檢測這些惡意更改，它們可能無人注意，直到它們被分發、添加到眾多公司的軟件中。

針對開源代碼的攻擊可能在規模及影響的實體方面不一樣。比如在2021年7月，研究人員發現了九個漏洞，影響三個開源項目：EspoCRM、Pimcore和Akaunting，這些項目經常被中小企業使用。此外，2017年Equifax數據泄露事件清楚地表明了漏洞如何被不法分子利用，并在整個過程中造成破壞性影響。由于這家組織的開源代碼曝出漏洞，泄露事件影響了1.47億人的個人數據。

永遠不會放棄開源

CISA表示，數億臺設備可能受到Log4j漏洞的影響。鑒于這起事件的嚴重性，許多企業可能在分析是否將開源代碼用于未來的開發。

然而，完全放棄開源不切實際。所有現代軟件都是由開源組件構建的，即便開發很小的應用程序，在不用開源的情況下重新構建這些組件都需要投入大量的時間和資金。全球60%以上的網站在Apache和Nginx服務器上運行，據稱90%的IT領導者經常使用企業開源代碼。

測試和保護您的軟件

一種更實際的方法是，讓安全團隊和軟件團隊協同工作，開發用于測試應用程序和軟件組件的策略和流程，而不是對開源軟件避而遠之。組織應重視涉及這三部分的流程：需要掃描和測試代碼，建立明確的流程以解決和修復出現的漏洞，并制定內部策略(設置解決安全問題的規則)。

說到使用工具測試開源環境的彈性，靜態代碼分析是很好的第一步。不過組織須記住：這只是第一道測試。靜態分析是指在實際程序或應用軟件上線之前分析源代碼，并解決任何發現的漏洞。然而，靜態分析無法檢測出可能嵌入到開源代碼中的所有惡意威脅。下一步應該是在沙盒環境中進行額外的測試。嚴格的代碼審核、動態代碼分析和單元測試是可以利用的其他方法。動態分析是指在軟件程序正在運行時對其進行檢查，以識別漏洞。

掃描完成后，組織要有明確的流程來解決發現的任何漏洞。開發人員可能會發現發布截止日期迫在眉睫，或者軟件補丁可能需要重構整個程序，而時間緊張。這個流程應給出明確的后續步驟以解決漏洞和緩解問題，從而幫助開發人員做出艱難的選擇，以保護組織的安全。

政策變更步驟應制定一項書面計劃，列出如何在將來制定所有決策，以及在整個過程中應讓哪些利益相關者參與進來。此外，組織可以對開源組件實施多種控制，比如證書和認證計劃。不過請記住，這會增加額外的間接成本，并減慢開源項目的開發速度。

保護開源遠離未來攻擊

整個行業在關注進一步保護開源代碼的必要性。Linux基金會在2021年10月宣布，它與其他行業領導者一起籌資1000萬美元，用于識別和修復開源軟件中的網絡安全漏洞，并開發改進的工具、培訓、研究和漏洞披露實踐。

除了全行業努力保護基于開源代碼構建的軟件免受網絡威脅外，組織還必須在內部對防御策略采取積極主動的方法。這應包括為它們自己的代碼和所依賴的開源代碼實施測試和控制程序。組織還必須制定內部政策和指南，以識別使用開源軟件帶來的風險，并確定用于管理該風險的控制措施。這么做將使組織得以繼續利用開源代碼的優點，同時打造一種能抵御未來攻擊的環境。

原文標題：Open Source Code: The Next Major Wave of Cyberattacks，作者：James Carder