馬斯克曾在一個多月前表示將在收購 Twitter 后開源 Twitter 的算法，以提高平臺透明度。這一決策不可避免的引起了各方激烈討論，安全領域的專家們對開源算法是否會對安全產生一些凈積極影響也存在著分歧。

一些批評人士指出，馬斯克將 Twitter 開源的想法可能會凸顯該網站的 Log4Shell 和 Spring4Shell
級別的漏洞。但支持者則認為，這一決定甚至可以增強平臺的安全性。

外媒 VentureBeat 將馬斯克開源 Twitter 算法可能造成影響進行了梳理。其中，可能導致的壞處在于或將為攻擊者提供更多的切入機會：將代碼開源的最大安全風險之一是它為威脅參與者提供了分析其安全漏洞的機會。

Vulcan Cyber 的高級技術工程師 Mike Parkin 表示，“開放 Twitter 的推薦算法是一把雙刃劍。雖然更多地關注代碼可以提高安全性，但它也為惡意研究人員打開了大門，以獲得他們通常無法獲得的洞察力”。并指出，開放推薦算法可能會使 "虛假信息" 在平臺上進一步傳播。

另一方面，持贊成態度的人則認為開源算法的好處在于可以提高透明度以減輕漏洞。一些分析師和安全專家表示，增加平臺的透明度是具有積極意義的，因為它允許平臺的用戶群有機會在漏洞管理中發揮作用。與 Twitter 擁有一個管理漏洞的小型研究團隊不同，開源代碼可能會讓平臺獲得來自數千名用戶的支持，這些用戶可以幫助提高平臺的安全性和完整性。

Bugcrowd 創始人兼 CTO 認為，在發現軟件漏洞時，對源代碼的訪問是很關鍵的;“由內而外”
的視圖總是比只從外向內觀察形成的視圖更有用和更完整。“我們一直可以在眾包安全測試中看到這一點，而 Twitter 的安全優勢將是來自人群對需要修復的問題的更徹底的反饋。”

并補充道，雖然此舉確實為攻擊者提供了識別漏洞的機會，但安全影響是正面還是負面最終還是將取決于 Twitter 投資漏洞信息并在漏洞被利用之前修復漏洞的能力。

雖然目前尚不清楚開源算法將產生什么影響，但組織可以采取一些簡單的步驟來幫助降低風險。Synopsys Software Integrity Group 首席安全策略師 Tim Mackey 建議，開源治理計劃將有助于有效應對風險。“企業可以通過識別哪些開源組件為 Twitter 開源技術提供動力，然后為它們實施開源治理計劃來減輕部分風險。這樣的計劃將主動監控這些組件的新漏洞披露，并使企業能夠對風險變化做出快速反應。這類似于一些企業用來盡量減少對 Log4Shell 漏洞的暴露的 proactive model。”

Mackey 建議企業為支持 Twitter 技術的開源組件實施開源治理計劃，主動監控新的漏洞披露，以便安全團隊準備好應對這些漏洞。

本文轉自OSCHINA

本文標題：開源推特算法有哪些安全風險?

本文地址：https://www.oschina.net/news/197827/open-source-twitter-security-risks