大云網信息安全安全信息正文

開源：好處與風險并存

2015-06-26 11:30:32 安全牛　點擊量：評論 (0)

開源現在已是IT行業勢力龐大的一支生力軍，它免費、開放、可定制、受整個社區的監督。鑒于開源在IT界的地位和影響力，任何關于其價值的大討論已經沒有必要。當源代碼向全世界開放，你將會被多雙眼睛檢查同一配置

開源現在已是IT行業勢力龐大的一支生力軍，它免費、開放、可定制、受整個社區的監督。鑒于開源在IT界的地位和影響力，任何關于其價值的大討論已經沒有必要。

“當源代碼向全世界開放，你將會被多雙眼睛檢查同一配置。因而，一旦發現問題，代碼擁有者也可以更快地進行修復。”

好處與風險

但另一方面，這些好處卻也是風險的來源。一些安全和法律界專家，盡管總體上認可開源的好處，卻依然不斷地警告各類組織和個人：開源并不完美，也許并不適合所有人。

開源的優點同時也是風險的根源。很明顯，如果代碼里的漏洞每個人都可見，那么罪犯也可以看到。而且即使百萬雙眼睛盯著開源代碼也并不能保證每個漏洞都能被發現并補上。

“有種說法稱開源軟件由于其開放性和‘有百萬雙眼睛檢查源代碼’而天生更安全。這種說法已經被諸如心臟滴血和其他一些漏洞徹底打臉。”（Accuvant解決方案研究主管拉法爾·洛斯）

而KNOS項目共同創始人兼主要架構師凱文·邁克李維就略帶嘲諷地將開源稱之為“開傷”（Open Sores）。

“開源將源代碼公布，許多雙眼睛宣稱將檢查它，因而任何可能的不良代碼都逃不脫眾人之眼。然而，心臟滴血出現了。自2012年2月發布之日起，這段有問題的代碼就一直暴露在‘眾人之眼’前，但沒有任何一個人發現它，直到兩年之后，漏洞都被利用濫了才忽然醒悟。”

另一個例子是GNTTLS里的“Ghost”漏洞利用，漏洞可追溯到2005年，但直到去年才被發現。然后是，大名鼎鼎的Bash shell，同樣是公開源代碼，同樣是被眾人之眼監督，而且歷史都可追溯到1989年，照樣潛藏了破殼（Shellshock）漏洞。這是因為百萬雙眼睛并不意味著所有這些眼睛都有發現漏洞的能力。

首先，開源社區檢查過的代碼根本談不上認證。再者代碼開放給所有人，并不意味著大家都能理解代碼實際上干了什么，或者，干錯了什么。最后，即使漏洞被發現，補丁已公布，也不能保證受影響的每臺設備每個系統都會打上補丁。

有兩個最近的開源風險的例子，Park’n Fly和OneStopParking.com就因為Joomla內容管理平臺中的開源安全漏洞而遭受攻擊。而且，在攻擊發生前就已經發布了安全補丁，但很不幸，補丁并未被安裝。

忽略與遺忘

問題的存在很大程度上是因為開源往往由“兩個獨立的實體”支撐。以Linux為例，有“內核團隊”和“應用維護團隊”。雖然任何對Linux內核自身的改變依然需要經過Linux創造者林納斯·托瓦茲的首肯或由他信任的少數內核維護者之一批準，但是對維護Linux單個應用程序或軟件包（package）的其他眾多開源項目，他們卻毫無興趣。

這就引發了用戶領域的絕對無政府狀態，當然也就對穩定性和安全性毫無益處，因為根本沒人負責。

另一方面，商業應用中使用的開源組件也是一個巨大的問題，因為它們太容易被人遺忘。例如OpenSSL庫和它一系列重大漏洞被發現時所引發的問題。開源和商業軟件都迫切需要修復，但當OpenSSL用于商業應用程序時，很多終端用戶根本意識不到它在那里，所以不知道需要進行修復。雖然可能已經開發出補丁，還是需要有人來安裝補丁。而通常情況下，開源應用并沒有“自動更新”這種選項。

根據開發者和公司的需要定制或修改代碼是開源的好處之一，但這一好處同時也是雙刃劍，不知道什么時候就會被傷害。所有這些修改，會造成開源程序出現各種修改版。而很多這些修改的應用程序會重新發布供全世界享用。然后，問題來了：你到底用的是哪個版本呢？有時候你根本不知道。

這意味著，用戶或開發人員以為自己已經打了補丁，但實際上，他有可能僅僅是安裝了該應用的另一個版本，而這個版本很可能就是基于沒打補丁的代碼。漏洞依然存在。

正方與反方

好處：

·免費。

·用戶無需經過任何人同意便可修改代碼。

·百萬雙眼睛共同盯著，協作發現漏洞。

·任何人均可修復漏洞，無需告知廠商。

·通常與專有系統一樣安全，甚至更安全。

缺陷：

·漏洞一旦曝光，對罪犯和好人的可見性是一樣的。

·沒有特定的個人或實體負責修復漏洞。