談到安全性，人們通常關(guān)注的焦點(diǎn)始終圍繞限制訪問以防止未經(jīng)授權(quán)的入侵。無論是鎖住房屋的物理門還是密封組織的數(shù)字網(wǎng)絡(luò)，安全始終專注于創(chuàng)建一個封閉的環(huán)境。然而，在過去幾年中，這種封閉的安全方法受到了開源軟件和硬件的挑戰(zhàn)，組織依賴公開可用的代碼在其網(wǎng)絡(luò)中部署和構(gòu)建應(yīng)用程序。 

開源的演進(jìn)

開源涉及使用開放和免費(fèi)可用代碼的組織，如今它越來越流行，據(jù)Synopsys開源安全和風(fēng)險(xiǎn)分析報(bào)告的最新數(shù)據(jù)顯示，如今代碼庫中 有78% 的代碼是開源的。 

在考慮開源的益處時，不僅代碼可以免費(fèi)使用，而且還為組織提供了更高的透明度，因?yàn)樗麄兛梢钥吹阶约赫谑褂玫脑创a并評估其安全性。 

他們還可以看到對代碼所做的更改，并與開發(fā)人員合作對其進(jìn)行改進(jìn)。此外，由于許多組織都在使用相同的代碼，因此通常可以更快地識別出錯誤和弱點(diǎn)，并且用戶社區(qū)將提供專家建議來修復(fù)它們。這意味著有更多的人關(guān)注代碼，他們的目的都是為了使代碼盡可能地安全。

支持開源的最突出的組織之一是特斯拉，其首席執(zhí)行官埃隆·馬斯克 (Elon Musk) 早在 2018 年就選擇開源其代碼。馬斯克意識到世界的未來將嚴(yán)重依賴電動汽車，但電動汽車要取得成功，人們需要投資于其安全性。作為回應(yīng)，馬斯克開源了特斯拉的軟件，允許其他人在它的基礎(chǔ)上制造汽車，并對它的安全性充滿信心。 

馬斯克遵循著許多其他組織的腳步，包括 Facebook、微軟和谷歌，他們都通過開源項(xiàng)目獲益。這些技術(shù)領(lǐng)導(dǎo)者不僅通過漏洞賞金和安全評估向安全研究人員開放他們的網(wǎng)絡(luò)，而且他們還資助開源項(xiàng)目并擁有致力于開源計(jì)劃的團(tuán)隊(duì)。 

例如， 數(shù)字安全設(shè)計(jì) (DSbD)? 計(jì)劃將通過創(chuàng)建一個新的、更安全的硬件和軟件生態(tài)系統(tǒng)，從根本上更新不安全的數(shù)字計(jì)算基礎(chǔ)設(shè)施的基礎(chǔ)。DSbD 計(jì)劃 已經(jīng)交付了 DSbD 技術(shù)的第一個片上系統(tǒng) (SoC) 原型和開發(fā)板 Morello的硬件實(shí)現(xiàn)。Morello 開發(fā)板是由英國 Arm 公司基于劍橋大學(xué)計(jì)算機(jī)實(shí)驗(yàn)室的 CHERI 保護(hù)模型開發(fā)的 Morello 原型架構(gòu)的真實(shí)測試平臺。

CHERI 旨在提供實(shí)際可部署的性能和兼容性，只需要對現(xiàn)有軟件和硬件進(jìn)行最小的更改：重新編譯現(xiàn)有的 C/C++，并進(jìn)行輕微的自適應(yīng)，可以保護(hù)具有功能的指針。這結(jié)合了硬件實(shí)現(xiàn)、完整的軟件堆棧和適應(yīng)廣泛使用的開源軟件，以提高安全性并鼓勵測試。

開源思維是航空業(yè)多年來認(rèn)可的一種思維方式。當(dāng)航空事故發(fā)生時，航空公司不會逃避，取而代之的是整個航空業(yè)共同努力調(diào)查這一事件并建造更安全的飛機(jī)。這種團(tuán)體精神使航空旅行成為當(dāng)今最安全的交通方式。 

然而，它肯定也是有風(fēng)險(xiǎn)的。 

那么，主要風(fēng)險(xiǎn)是什么？如何克服這些風(fēng)險(xiǎn)？

開源風(fēng)險(xiǎn)

開源的最大風(fēng)險(xiǎn)之一是沒有經(jīng)常管理或更新，這可能會給用戶帶來風(fēng)險(xiǎn)。 

雖然特斯拉開源軟件的用戶可以放心，其代碼將得到徹底管理，但對于規(guī)模較小且缺乏經(jīng)驗(yàn)的開發(fā)人員來說，情況并非總是如此，尤其是因?yàn)樗麄冋诿赓M(fèi)贈送一些東西。

如果代碼沒有更新并且沒有人負(fù)責(zé)更新它，那么當(dāng)出現(xiàn)問題時，沒有人可以追究責(zé)任。最終，它只會被錯誤和漏洞所困擾，從而將其用戶置于嚴(yán)重風(fēng)險(xiǎn)之中。事實(shí)上，最近 Synopsys OSSRA 報(bào)告顯示，81% 的開源代碼包含漏洞。  

因此，當(dāng)組織評估開源軟件和硬件時，必須進(jìn)行盡職調(diào)查并分析產(chǎn)品的質(zhì)量，并在將產(chǎn)品引入組織架構(gòu)之前了解其創(chuàng)建人。 

找出誰負(fù)責(zé)修改和更新代碼，并確保他們有資源、精力和時間來執(zhí)行必要的安全更新；否則，未來無疑會出現(xiàn)風(fēng)險(xiǎn)。 

這也是世界各國政府評估開源并考慮規(guī)范該行業(yè)的關(guān)鍵原因之一。擬議的法規(guī)將確保開源項(xiàng)目擁有所有者并負(fù)責(zé)更新。然而，這可能會阻礙市場，因?yàn)闈撛诘倪`規(guī)行為會導(dǎo)致希望進(jìn)入開源領(lǐng)域的開發(fā)人員減少。

推動開源發(fā)展

開源通過匯集來自不同來源的專業(yè)知識來開發(fā)更好、更安全的產(chǎn)品，為組織提供了真正的安全優(yōu)勢。但是，組織必須在將開源代碼部署到其網(wǎng)絡(luò)之前進(jìn)行研究。  

對于組織來說，有一個內(nèi)部管理人員來確保安全得到維護(hù)和迅速進(jìn)行更新也是至關(guān)重要的。了解開源安全性以及如何管理開源組件的開發(fā)人員是管理內(nèi)部開源項(xiàng)目的最佳人選。

那么，開源是實(shí)現(xiàn)安全的最佳途徑嗎？這一切都取決于項(xiàng)目本身，但如果做得好，它肯定會為企業(yè)帶來許多無與倫比的安全優(yōu)勢。

原標(biāo)題：Is Open Source the Greatest Path to Security?

作者：Darren Prehaye

鏈接：https://www.infosecurity-magazine.com/opinions/open-source-path-security/

 ?