使用开源 = 富贵险中求?你怎么看?

2022 年 3 月 2 日 CSDN

开源技术由于其免费、开放、自由的特点收到众多个人和企业用户的青睐。但也正是因为这些特点,开源技术更容易成为黑客攻击的对象,之前频发的开源安全事故无不在印证着这一事实。那我们该如何看待开源技术的安全问题?使用开源技术到底是风险高还是收益高?欢迎大家在评论区留下你的看法。


作者 | 宋林飞        责编 | 张红月
出品 | CSDN(ID:CSDNnews)

就在刚刚过去的2021年,技术圈传出了一个爆炸性的新闻,Log4j安全漏洞影响了上亿家公司,造成了无法计量的损失,使无数的程序员度过了一个难熬的不眠夜。不了解的人可能会不禁好奇,这到底是哪个供应商的产品,能够有如此大的影响力?在了解后才发现,原来这是一个开源技术。

那为什么它的漏洞能引发如此的轩然大波?其实,这都要归结于开源技术的特点。因为在遵循项目开源许可的情况下,企业和个人可以自由且免费的使用这些开源技术,获取这些项目的源代码,甚至基于这些项目的代码进行二次开发。因此,好的开源项目自然会被很多的企业、用户使用,并且在很多的软件和服务里面都能看到它们的影子。但正是因为开源技术“开放”和“自由”的特点,它也更容易成为居心叵测之人下手的目标。黑客们有机会对项目的源代码进行分析、修改,并使用各种方法来遮盖对开源项目做出的恶意更改。再加上代码审查的严格程度因项目而异, 如果没有严格的审查措施来检测这些恶意更改,它们很容易就会被忽视,直到它们扩散开来,被使用在众多公司的软件中。



开源,不可忽视的安全隐患

比如刚刚提到的Log4j项目,它是一个基于Java的日志记录工具,被70%以上的公司使用。里面的一个功能由于存在漏洞,导致攻击者可以任意执行命令。这就给了很多黑客可乘之机,他们可以远程在包含Log4j的程序中执行恶意代码,植入病毒等等,几乎等同于为所欲为,如此产生后果的严重性是不可估量的。

然而,与Log4j类似的情况比比皆是。EspoCRM,Pimcore,Akaunting作为三个被数千家公司使用的开源软件,在企业的用户关系管理、客户数据管理、数字资产管理以及财会方面发挥着至关重要的作用。它们也曾被爆出致命漏洞,成功利用这些漏洞可以使绕过身份验证的攻击者执行任意JavaScript代码,控制底层操作系统并发起额外的恶意攻击,还可以通过特制的HTTP请求触发拒绝服务,甚至更改与用户账户关联的公司,且无需任何授权。

还有在2014年席卷整个互联网世界的OpenSSL Heartbleed(心脏出血)漏洞,不仅让整个中国互联网为之一颤,而且导致全球超过三分之二的网站“心脏出血”,使全球互联网大量私钥和其他加密信息处于暴露危险下,受影响严重的系统甚至可以从服务器中直接获取用户密码。这一起起的开源安全事故,无不在印证着开源技术的安全风险。



那不用开源行不行?

在看完上面开源安全事故的回顾,有人可能会有这样的疑问,“既然开源技术有这么大的风险,我们不用它不就行了?”。其实这个问题的答案也很明显,还真不行!因为开源技术都是由开源社区的小伙伴们共同建设的,其中不乏很多成熟且高质量的项目。直接把这些项目拿来使用,可以避免重复造轮子,为企业节省大量的时间和人力成本。让企业摒弃开源项目,自己再把现成的功能重新开发一遍,浪费成本不说,自研的程序从功能性的角度可能还不如开源。所以,让企业杜绝使用开源技术是不现实的。



真的没有办法了吗?

虽然开源技术确实很容易成为黑客们攻击的目标,但是我们还是可以通过一些手段,来中和使用开源技术带来的安全风险,把可能的损失降到最低。

测试和制度
首先,完善的测试和应急响应制度可以让企业更早的发现开源技术中的漏洞,更快的对其进行响应。这主要分为三个部分:代码扫描和测试,建立一个明确的流程来解决和修复出现的漏洞、将解决安全问题的规则包含在公司策略中。

在使用工具测试开源环境时,静态代码分析是很好的第一步。静态分析是指在实际软件应用程序或程序上线之前分析源代码并解决任何发现的漏洞。但是,静态分析无法检测到所有可能嵌入到开源代码中的恶意威胁。因此,很关键的下一步是在沙盒环境中进行额外测试。严格的代码审查、动态代码分析和单元测试都是我们可以利用的方法。

在对代码进行了测试后,企业必须有一个明确的流程来解决测试中发现的漏洞。因为程序员的排期通常会很满。该流程应该明确任务的优先级以及后续操作步骤,让技术人员的每一步操作都有依据可循。

开源技术安全需要行业共同努力
其实,目前包括Linux,Apache这样的顶级开源基金会都在呼吁大家重视开源技术的安全,并也付出了努力。包括资金的支持、开发安全工具、培训、研究和最佳实践。

除了全行业努力保护基于开源代码构建的软件免受威胁外,企业也要对其防御战略有一个积极的态度。包括积极的为他们所依赖的开源代码实施测试并将数据积极向上游反馈。企业也应该制定合理的内部政策和指南,来识别使用开源软件的风险。如此做可以让企业继续利用开源代码的优势,同时也能创建一个能够预防可能威胁的环境。

总的来说,尽管开源技术漏洞导致的安全事故比比皆是,但是我们目前也已经有了一些应对这些危险的经验和方案。那么,你是如何看待这些安源安全事故的?你认为使用开源技术是收益大于风险还是得不偿失?请在评论区留下你的观点。

END

 

《新程序员001-004》全面上市,对话世界级大师,报道中国IT行业创新创造



— 推荐阅读 —
  
  
    
2022,火山引擎的云上第一“子”,为何是视频?
Linux “百变”秀:今天 Windows 95,明天 Mac OS 9
C#、TypeScript之父Anders Hejlsberg:“会用Excel就是程序员 ”


登录查看更多
0

相关内容

黑客(Hacker,台湾译作「骇客」)广义上指在计算机科学,编程以及设计领域有高度理解力的人。 然而,人们通常对黑客一词的理解都是取其狭义的涵义,即信息安全领域的黑客: 未经许可入侵他人系统并窃取数据信息等的可以视为 黑帽黑客,也可取侩客 cracker 的涵义。
而主要从事安全检测,系统调试,技术研究的安全从业者可称为 白帽黑客
还有一种存在称为「脚本小子」,往往冒充黑客也常被人误认为是「黑客」,其实是利用一些现有的工具或者程序达到入侵或破解等目的,然而其知识储备以及对技术的理解力却完全不符合广义黑客的标准,甚至不及狭义黑客标准。
专知会员服务
57+阅读 · 2021年9月23日
专知会员服务
48+阅读 · 2021年7月14日
【干货书】Python参考手册,210页pdf
专知会员服务
63+阅读 · 2021年4月30日
专知会员服务
91+阅读 · 2020年12月26日
【2020新书】Ruby 3 编程: 从小白到专家,598页pdf
专知会员服务
30+阅读 · 2020年12月17日
【2020新书】使用Kubernetes开发高级平台,519页pdf
专知会员服务
66+阅读 · 2020年9月19日
【2020新书】实战R语言4,323页pdf
专知会员服务
100+阅读 · 2020年7月1日
如何保护你的开源项目免遭供应链攻击
AI前线
0+阅读 · 2022年4月11日
俄罗斯开发人员或因制裁而无法使用开源软件!
大数据文摘
0+阅读 · 2022年3月8日
Log4j 持续爆雷,啥时候是个头?
AI前线
0+阅读 · 2021年12月25日
再严重的 Log4j2 漏洞也伤害不了Java
AI前线
0+阅读 · 2021年12月14日
国家自然科学基金
0+阅读 · 2015年12月31日
国家自然科学基金
0+阅读 · 2014年12月31日
国家自然科学基金
0+阅读 · 2014年12月31日
国家自然科学基金
0+阅读 · 2014年12月31日
国家自然科学基金
0+阅读 · 2014年12月31日
国家自然科学基金
0+阅读 · 2014年12月31日
国家自然科学基金
0+阅读 · 2013年12月31日
国家自然科学基金
4+阅读 · 2012年12月31日
国家自然科学基金
0+阅读 · 2012年12月31日
国家自然科学基金
0+阅读 · 2012年12月31日
Arxiv
24+阅读 · 2021年1月25日
A survey on deep hashing for image retrieval
Arxiv
14+阅读 · 2020年6月10日
VIP会员
相关VIP内容
专知会员服务
57+阅读 · 2021年9月23日
专知会员服务
48+阅读 · 2021年7月14日
【干货书】Python参考手册,210页pdf
专知会员服务
63+阅读 · 2021年4月30日
专知会员服务
91+阅读 · 2020年12月26日
【2020新书】Ruby 3 编程: 从小白到专家,598页pdf
专知会员服务
30+阅读 · 2020年12月17日
【2020新书】使用Kubernetes开发高级平台,519页pdf
专知会员服务
66+阅读 · 2020年9月19日
【2020新书】实战R语言4,323页pdf
专知会员服务
100+阅读 · 2020年7月1日
相关基金
国家自然科学基金
0+阅读 · 2015年12月31日
国家自然科学基金
0+阅读 · 2014年12月31日
国家自然科学基金
0+阅读 · 2014年12月31日
国家自然科学基金
0+阅读 · 2014年12月31日
国家自然科学基金
0+阅读 · 2014年12月31日
国家自然科学基金
0+阅读 · 2014年12月31日
国家自然科学基金
0+阅读 · 2013年12月31日
国家自然科学基金
4+阅读 · 2012年12月31日
国家自然科学基金
0+阅读 · 2012年12月31日
国家自然科学基金
0+阅读 · 2012年12月31日
Top
微信扫码咨询专知VIP会员