去年發(fā)生了一些令人震驚的攻擊，這使得開源軟件供應(yīng)鏈的安全性備受質(zhì)疑。成千上萬的計算機被一個免費的安全軟件工具CCleaner故意損壞，同一周內(nèi)一群黑客向Python Package Index（PyPI）（Python的公共軟件包存儲庫）添加了故意損壞的Python庫，這些軟件包成功使得企業(yè)、政府和軍事網(wǎng)站工作的Python程序員中招。

[[230890]]

這些攻擊發(fā)生在臭名昭著的Equifax泄露事件發(fā)生后的幾個月，Equifax泄露事件利用了開源Java Web框架庫。從那以后，很多組織增加了對安全態(tài)勢的重視程度。Python軟件基金會迅速為PyPI添加了黑名單功能，防止任何人更新流行的Python軟件包。此外，GitHub開始向RubyGems for Ruby和npm for Javascript中的已知易受攻擊庫的項目維護人員發(fā)出警報，并計劃在今年晚些時候為Python添加警報。

那么，這是否意味著開源軟件可以安全地再次使用？

答案是不完全是，企業(yè)為了更好地保護自己，需要了解開源軟件供應(yīng)鏈的工作原理，我們生活中幾乎所有的設(shè)備都包含一個嵌入式開源軟件和運行時庫的復雜系統(tǒng)。

開源軟件的開發(fā)任何人都可以創(chuàng)建軟件包，任何人都可以使用其他軟件包。這種混雜的共享可以提高每個人的工作效率，開發(fā)人員可以借用并改進其他人的工作，從而減少必須單獨編寫的代碼量。

不幸的是，要理解別人上傳的軟件非常困難，人們可能會惡意地改變供應(yīng)鏈中的數(shù)據(jù)包或庫。以PyPi為例，攻擊者會使用“typosquatting”，他們上傳了一個名為“bzip”的庫，模仿“bz2file”。很多臨時使用庫的用戶不知道其中的差異，當他們使用修改后的庫時，數(shù)據(jù)包的開發(fā)者能夠看到這些庫的使用。在另一次攻擊中，有人簡單地提交了現(xiàn)有標準庫軟件包的新版本，名稱相同但是內(nèi)容是惡意的版本。

讓事情變得復雜的原因之一是，普遍的感染往往不是攻擊者的動機。以CCleaner為例，超過10萬臺感染機器只是附帶損害，襲擊者初始的目標只是大約18家公司，他們需要的只是這些公司使用的一個妥協(xié)包。

Python基金會，GitHub和其他公司已經(jīng)在采取這些類型的漏洞方面采取了重要措施，但企業(yè)和開源社區(qū)可以做更多的事情來阻止它們。

開源軟件的開發(fā)任何人都可以創(chuàng)建軟件包，任何人都可以使用其他軟件包。這種混雜的共享可以提高每個人的工作效率，開發(fā)人員可以借用并改進其他人的工作，從而減少必須單獨編寫的代碼量。

企業(yè)可以運行自己的私有數(shù)據(jù)包庫，這些庫通常由IT組織進行控制和審計。通過這種方式，他們可以控制使用哪些版本的軟件包，并且會向正確的服務(wù)通知需要解決的安全漏洞。另一種技術(shù)是版本固定（version pinning），其中組織將庫限制為已知的運行良好的版本。組織必須主動管理版本控制和依賴關(guān)系，但有多種工具可用于簡化和自動化流程。這可以解決現(xiàn)有軟件包的新惡意版本，以及在當前版本中發(fā)現(xiàn)主要漏洞的情況下每個人使用新版本的情況。

與此同時，開源社區(qū)必須克服對軟件包的無限制訪問，這是一項艱巨的任務(wù)，因為這種訪問使得許多這樣的社區(qū)保持高效和創(chuàng)新能力。安全掃描和軟件包署名是商業(yè)應(yīng)用商店（如Apple和Windows）使用的技術(shù)，但開源社區(qū)難以擴展這些技術(shù)。 盡管如此，簡單地管理一個軟件包庫，即使沒有署名，也可能是一個有效的保障。

無論你在開源供應(yīng)鏈中的角色如何，如果我們要防范未來的攻擊，必須對安全性給予更多的關(guān)注。安全專業(yè)人員通過默默無聞的方式熟悉安全性，他們錯誤地認為，如果軟件很難理解，就很難發(fā)起攻擊。去年的攻擊表明，通過濫交（將開放源代碼無管理地納入軟件供應(yīng)鏈）帶來的不安全感是我們面臨的新的問題。