馬斯克曾在一個(gè)多月前表示將在收購(gòu) Twitter 后開(kāi)源 Twitter 的算法，以提高平臺(tái)透明度。這一決策不可避免的引起了各方激烈討論，安全領(lǐng)域的專家們對(duì)開(kāi)源算法是否會(huì)對(duì)安全產(chǎn)生一些凈積極影響也存在著分歧。

一些批評(píng)人士指出，馬斯克將 Twitter 開(kāi)源的想法可能會(huì)凸顯該網(wǎng)站的 Log4Shell 和 Spring4Shell
級(jí)別的漏洞。但支持者則認(rèn)為，這一決定甚至可以增強(qiáng)平臺(tái)的安全性。

外媒 VentureBeat 將馬斯克開(kāi)源 Twitter 算法可能造成影響進(jìn)行了梳理。其中，可能導(dǎo)致的壞處在于或?qū)楣粽咛峁└嗟那腥霗C(jī)會(huì)：將代碼開(kāi)源的最大安全風(fēng)險(xiǎn)之一是它為威脅參與者提供了分析其安全漏洞的機(jī)會(huì)。

Vulcan Cyber 的高級(jí)技術(shù)工程師 Mike Parkin 表示，“開(kāi)放 Twitter 的推薦算法是一把雙刃劍。雖然更多地關(guān)注代碼可以提高安全性，但它也為惡意研究人員打開(kāi)了大門，以獲得他們通常無(wú)法獲得的洞察力”。并指出，開(kāi)放推薦算法可能會(huì)使 "虛假信息" 在平臺(tái)上進(jìn)一步傳播。

另一方面，持贊成態(tài)度的人則認(rèn)為開(kāi)源算法的好處在于可以提高透明度以減輕漏洞。一些分析師和安全專家表示，增加平臺(tái)的透明度是具有積極意義的，因?yàn)樗试S平臺(tái)的用戶群有機(jī)會(huì)在漏洞管理中發(fā)揮作用。與 Twitter 擁有一個(gè)管理漏洞的小型研究團(tuán)隊(duì)不同，開(kāi)源代碼可能會(huì)讓平臺(tái)獲得來(lái)自數(shù)千名用戶的支持，這些用戶可以幫助提高平臺(tái)的安全性和完整性。

Bugcrowd 創(chuàng)始人兼 CTO 認(rèn)為，在發(fā)現(xiàn)軟件漏洞時(shí)，對(duì)源代碼的訪問(wèn)是很關(guān)鍵的;“由內(nèi)而外”
的視圖總是比只從外向內(nèi)觀察形成的視圖更有用和更完整?！拔覀円恢笨梢栽诒姲踩珳y(cè)試中看到這一點(diǎn)，而 Twitter 的安全優(yōu)勢(shì)將是來(lái)自人群對(duì)需要修復(fù)的問(wèn)題的更徹底的反饋?！?br>

并補(bǔ)充道，雖然此舉確實(shí)為攻擊者提供了識(shí)別漏洞的機(jī)會(huì)，但安全影響是正面還是負(fù)面最終還是將取決于 Twitter 投資漏洞信息并在漏洞被利用之前修復(fù)漏洞的能力。

雖然目前尚不清楚開(kāi)源算法將產(chǎn)生什么影響，但組織可以采取一些簡(jiǎn)單的步驟來(lái)幫助降低風(fēng)險(xiǎn)。Synopsys Software Integrity Group 首席安全策略師 Tim Mackey 建議，開(kāi)源治理計(jì)劃將有助于有效應(yīng)對(duì)風(fēng)險(xiǎn)。“企業(yè)可以通過(guò)識(shí)別哪些開(kāi)源組件為 Twitter 開(kāi)源技術(shù)提供動(dòng)力，然后為它們實(shí)施開(kāi)源治理計(jì)劃來(lái)減輕部分風(fēng)險(xiǎn)。這樣的計(jì)劃將主動(dòng)監(jiān)控這些組件的新漏洞披露，并使企業(yè)能夠?qū)︼L(fēng)險(xiǎn)變化做出快速反應(yīng)。這類似于一些企業(yè)用來(lái)盡量減少對(duì) Log4Shell 漏洞的暴露的 proactive model?！?br>

Mackey 建議企業(yè)為支持 Twitter 技術(shù)的開(kāi)源組件實(shí)施開(kāi)源治理計(jì)劃，主動(dòng)監(jiān)控新的漏洞披露，以便安全團(tuán)隊(duì)準(zhǔn)備好應(yīng)對(duì)這些漏洞。

本文轉(zhuǎn)自O(shè)SCHINA

本文標(biāo)題：開(kāi)源推特算法有哪些安全風(fēng)險(xiǎn)?

本文地址：https://www.oschina.net/news/197827/open-source-twitter-security-risks