對于開源安全所面臨的挑戰(zhàn)，如果說有一個代表人物的話，那應該是Werner Koch，這位德國開發(fā)人員編寫了并在過去18年辛苦維持著Gnu Privacy Guard(GnuPG)——開源軟件生態(tài)系統(tǒng)的支柱。

在1999年首次推出后，GnuPG成為世界上使用最廣泛的開源安全工具之一，它保護著每個人的電子郵件通信。

然而，在最近幾年，Koch艱難地維持著生計。自2001年以來，他平均每年會收到估計約25000美元，但這些錢不足以支持他的工作。

根據(jù)Pro Publica報告表示，這位53歲的開發(fā)人員差點就要放棄GnuPG，而后斯諾登泄露NSA文件震驚整個世界時，讓Koch決定繼續(xù)干下去，他表示：“我太理想主義了。”

這個故事有一個皆大歡喜的結(jié)局。在ProPublica報道發(fā)表后，全世界的捐助者都跑來支援Koch。他很快實現(xiàn)了原先設定的137000美元籌款目標，讓他可以繼續(xù)他的工作，還聘請了一位兼職開發(fā)人員。Koch還獲得Linux基金會的核心基礎設施倡議的6萬美元一次性補助金，F(xiàn)acebook和在線支付處理商Stripe承諾每年提供5萬美元支持Koch的項目。

GnuPG等資金不足的項目形成了規(guī)?？涨暗凝嫶箝_源生態(tài)系統(tǒng)?，F(xiàn)在不斷涌現(xiàn)的技術(shù)開發(fā)中廣泛重復使用開源代碼，而代碼的巨大數(shù)量阻礙了安全檢查。直到最近，我們才開始面對這個問題，通常在發(fā)生安全泄露事故后，行業(yè)才會開始采取行動。

代碼能當飯吃嗎?

Koch這樣的情況并不少見。

在谷歌研究人員Neel Mehta發(fā)現(xiàn)Heartbleed(OpenSSL組件中嚴重的可遠程利用的漏洞)后，讓軟件社區(qū)感到非常震驚的是，OpenSSL項目主要由Stephen Henson和Steve Marquess兼職在保持改代碼的更新，該項目每年只有幾千美元的自愿捐款補償。

很多依靠開源技術(shù)的技術(shù)供應商很快就開始支援OpenSSL項目。核心基礎設施倡議幫助為Henson等OpenSSL項目工作者提供資金。亞馬遜、Adobe、思科、Facebook和谷歌也提供了資金支持。

眾目睽睽，漏洞無匿?

Heartbleed并不是第一個殺手級開源代碼漏洞。例如，Apache Struts漏洞比它早了近一年，也同樣嚴重。

在媒體的狂熱炒作下，Heartbleed可能已經(jīng)開始讓人們質(zhì)疑Eric Raymond關(guān)于開源質(zhì)量的著名格言：“眾目睽睽，漏洞無匿。”大多數(shù)安全專家表示，這個概念比實際更理想化。

“我從來都不喜歡‘眾目睽睽’的概念，”Sonatype公司首席技術(shù)官Joshua Corman表示，“‘眾目睽睽’并不意味著這些眼睛在試圖或者有資格去尋找安全漏洞。”

Black Duck Software公司開源戰(zhàn)略高級主管Bill Weinberg表示，開源的“眾目睽睽漏洞無匿”只是為了粉飾開源生態(tài)系統(tǒng)的缺陷，這意味著在那里并不存在時刻的警惕。

“對于Shellshock，并沒有太多眼睛關(guān)注，”Weinberg在提到2014年Bash代碼中發(fā)現(xiàn)的嚴重漏洞時表示，“該漏洞被認為經(jīng)過很好的審核，但事實證明，它并沒有那么安全，因為每個人都認為它經(jīng)過嚴格審核。”

雖然我們可能喜歡假定開源代碼具有很高的完整性，但Sonatype的數(shù)據(jù)顯示了相反的結(jié)果。該公司對其托管代碼庫中開源組件的分析發(fā)現(xiàn)，開源組件中已知漏洞只有41%得到修復，而得到修復的問題，平均修復時間高達390天。

雖然在開源和專有軟件項目之間曾經(jīng)有一條分界線，但大多數(shù)現(xiàn)代應用程序都是第三方軟件組件的組合，其中不乏很多開源軟件。

認真對待代碼級別的安全性

正確的響應是怎樣?無論好壞，答案在很大程度上是文化，前微軟高級戰(zhàn)略家，現(xiàn)HackerOne公司首席策略官Katie Moussouris表示，“我們需要構(gòu)建安全思維模式，這對每個軟件項目(開源與否)都很重要。”

Moussouris的公司提供了一個基于Web的平臺來協(xié)助漏洞披露，包括漏洞賞金計劃。她指出，HackerOne已經(jīng)針對很多開源項目提供漏洞賞金，包括PHP、Ruby on Rails、Python和OpenSSL，為漏洞披露提供獎金。

開源項目需要對安全采取更加認真和系統(tǒng)的方法，她說道：“你至少需要嘗試構(gòu)建安全。”

Sonatype公司的Corman主張采取更嚴格的解決方案：類似于生產(chǎn)廠家使用的供應鏈，同時提供高品質(zhì)和問責制。

就拿福特生產(chǎn)線來說，該公司知道所有進入其成品汽車的部件的出處。問題可以追溯到特定供應商、設施，甚至生產(chǎn)環(huán)節(jié)。

然而，在現(xiàn)代軟件開發(fā)企業(yè)，并沒有這樣的系統(tǒng)。幾乎所有商業(yè)軟件應用程序都在使用開源組件以及第三方公司出售的專有軟件，但軟件公司可能對代碼的質(zhì)量和出處只有粗略的概念。通常情況下，漏洞的范圍和影響在災難發(fā)生后才會知道。

例如，在Shellshock的情況下，有問題的代碼可以追溯到1989年，并影響著廣泛的應用程序，從基于CGI的網(wǎng)絡服務器到Qmail電子郵件服務器，再到某些DHCP客戶端。在該漏洞披露數(shù)小時后就出現(xiàn)針對該漏洞的攻擊。

追隨領(lǐng)導者

Canonical、Red Hat和谷歌等商業(yè)Linuc供應商已經(jīng)投入巨資來確保開源的安全性和完整性。而Netflix和Facebook等開源友好型公司已經(jīng)投入相當多的資源來幫助提高開源質(zhì)量。

工程部經(jīng)理Jason Duell表示，在Mozilla(+微信關(guān)注網(wǎng)絡世界)，安全責任被分給三個團隊，一個團隊負責對發(fā)現(xiàn)的安全問題進行分類，第二個團隊對編譯的代碼進行黑盒測試以查找漏洞，而第三個團隊則開發(fā)安全和隱私功能。

Duell表示，在六年前他加入這間公司之前，對已開發(fā)的代碼進行嚴格的測試就已經(jīng)是Mozilla的開發(fā)文化，但Mozilla已經(jīng)更改了其他開發(fā)做法來應對不斷增加的開源威脅。

Duell稱：“我們意識到攻擊者正在查看我們公眾提交源代碼庫，于是我們改變了各種做法。”其中之一是，對Mozilla代碼的安全補丁在發(fā)布前會進行審核，大量新功能讓安全團隊在發(fā)布代碼前進行審計。

云計算解決方案產(chǎn)品經(jīng)理Dustin Kirkland表示，在Canonical，一支快速增長的安全團隊在審核Canonical的代碼—總統(tǒng)35000軟件包，通過各種渠道發(fā)布作為Ubuntu的一部分。

與Mozilla一樣，Canonical的安全運營跨越多個不同的舉措，從功能開發(fā)到代碼審計。對于Corman的觀點，Kirkland表示，供應鏈風險是一個主要問題。Canonical投入大量資源來評估開源組件的可靠性，這些開源組件被捆綁到其核心操作系統(tǒng)。

Kirkland表示：“對于開源技術(shù)，我們正在考慮應該部署它還是分拆它，然后開發(fā)和推廣它。”當Canonical公司選擇分拆現(xiàn)有開源代碼時，該公司受到了抨擊，但Kirkland指出分拆的能力是開源的優(yōu)勢之一。

“我們不打算創(chuàng)建自己版本的OpenSSL和GPG，”Kirkland表示，“但擁有加密庫的替代品是非常重要的。這里需要多樣性，尤其是在我們了解到這些組件多么容易受到攻擊后。”

現(xiàn)在都是開源化

也許開源會帶來不適，但專家稱沒有回頭路可走。Weinberg的很大一部分職業(yè)生涯都是他所謂的“信仰捍衛(wèi)者”，打擊商業(yè)供應商(例如微軟)抹黑開源運動的試圖。他表示，“開源”和“閉源”之間的分隔墻很久以前就被推倒。

“現(xiàn)在沒有專有軟件這樣的東西了，因為很少有軟件不依賴開源，”他稱，“整個世界已經(jīng)以這樣或那樣的形式轉(zhuǎn)向‘社區(qū)開發(fā)’的軟件。”

“我真的認為這是一種共同的責任，”Kirkland說道，“當你考慮到我們所有人都在開源軟件的整個堆棧中，你會希望安全成為一種共同責任，而不只是Linux基金會和Red Hat的責任。”

換句話說，Heartbleed等漏洞可能讓我們咬牙切齒，但在2015年，所有制造、使用或依賴軟件的公司都實際上是開源軟件公司，無論他們知道與否。這使得他們成為問題及其解決方案的一部分。(鄒錚譯稿)