談到安全性，人們通常關(guān)注的焦點始終圍繞限制訪問以防止未經(jīng)授權(quán)的入侵。無論是鎖住房屋的物理門還是密封組織的數(shù)字網(wǎng)絡，安全始終專注于創(chuàng)建一個封閉的環(huán)境。然而，在過去幾年中，這種封閉的安全方法受到了開源軟件和硬件的挑戰(zhàn)，組織依賴公開可用的代碼在其網(wǎng)絡中部署和構(gòu)建應用程序。 

開源的演進

開源涉及使用開放和免費可用代碼的組織，如今它越來越流行，據(jù)Synopsys開源安全和風險分析報告的最新數(shù)據(jù)顯示，如今代碼庫中 有78% 的代碼是開源的。 

在考慮開源的益處時，不僅代碼可以免費使用，而且還為組織提供了更高的透明度，因為他們可以看到自己正在使用的源代碼并評估其安全性。 

他們還可以看到對代碼所做的更改，并與開發(fā)人員合作對其進行改進。此外，由于許多組織都在使用相同的代碼，因此通?？梢愿斓刈R別出錯誤和弱點，并且用戶社區(qū)將提供專家建議來修復它們。這意味著有更多的人關(guān)注代碼，他們的目的都是為了使代碼盡可能地安全。

支持開源的最突出的組織之一是特斯拉，其首席執(zhí)行官埃隆·馬斯克 (Elon Musk) 早在 2018 年就選擇開源其代碼。馬斯克意識到世界的未來將嚴重依賴電動汽車，但電動汽車要取得成功，人們需要投資于其安全性。作為回應，馬斯克開源了特斯拉的軟件，允許其他人在它的基礎(chǔ)上制造汽車，并對它的安全性充滿信心。 

馬斯克遵循著許多其他組織的腳步，包括 Facebook、微軟和谷歌，他們都通過開源項目獲益。這些技術(shù)領(lǐng)導者不僅通過漏洞賞金和安全評估向安全研究人員開放他們的網(wǎng)絡，而且他們還資助開源項目并擁有致力于開源計劃的團隊。 

例如， 數(shù)字安全設(shè)計 (DSbD)? 計劃將通過創(chuàng)建一個新的、更安全的硬件和軟件生態(tài)系統(tǒng)，從根本上更新不安全的數(shù)字計算基礎(chǔ)設(shè)施的基礎(chǔ)。DSbD 計劃 已經(jīng)交付了 DSbD 技術(shù)的第一個片上系統(tǒng) (SoC) 原型和開發(fā)板 Morello的硬件實現(xiàn)。Morello 開發(fā)板是由英國 Arm 公司基于劍橋大學計算機實驗室的 CHERI 保護模型開發(fā)的 Morello 原型架構(gòu)的真實測試平臺。

CHERI 旨在提供實際可部署的性能和兼容性，只需要對現(xiàn)有軟件和硬件進行最小的更改：重新編譯現(xiàn)有的 C/C++，并進行輕微的自適應，可以保護具有功能的指針。這結(jié)合了硬件實現(xiàn)、完整的軟件堆棧和適應廣泛使用的開源軟件，以提高安全性并鼓勵測試。

開源思維是航空業(yè)多年來認可的一種思維方式。當航空事故發(fā)生時，航空公司不會逃避，取而代之的是整個航空業(yè)共同努力調(diào)查這一事件并建造更安全的飛機。這種團體精神使航空旅行成為當今最安全的交通方式。 

然而，它肯定也是有風險的。 

那么，主要風險是什么？如何克服這些風險？

開源風險

開源的最大風險之一是沒有經(jīng)常管理或更新，這可能會給用戶帶來風險。 

雖然特斯拉開源軟件的用戶可以放心，其代碼將得到徹底管理，但對于規(guī)模較小且缺乏經(jīng)驗的開發(fā)人員來說，情況并非總是如此，尤其是因為他們正在免費贈送一些東西。

如果代碼沒有更新并且沒有人負責更新它，那么當出現(xiàn)問題時，沒有人可以追究責任。最終，它只會被錯誤和漏洞所困擾，從而將其用戶置于嚴重風險之中。事實上，最近 Synopsys OSSRA 報告顯示，81% 的開源代碼包含漏洞。  

因此，當組織評估開源軟件和硬件時，必須進行盡職調(diào)查并分析產(chǎn)品的質(zhì)量，并在將產(chǎn)品引入組織架構(gòu)之前了解其創(chuàng)建人。 

找出誰負責修改和更新代碼，并確保他們有資源、精力和時間來執(zhí)行必要的安全更新；否則，未來無疑會出現(xiàn)風險。 

這也是世界各國政府評估開源并考慮規(guī)范該行業(yè)的關(guān)鍵原因之一。擬議的法規(guī)將確保開源項目擁有所有者并負責更新。然而，這可能會阻礙市場，因為潛在的違規(guī)行為會導致希望進入開源領(lǐng)域的開發(fā)人員減少。

推動開源發(fā)展

開源通過匯集來自不同來源的專業(yè)知識來開發(fā)更好、更安全的產(chǎn)品，為組織提供了真正的安全優(yōu)勢。但是，組織必須在將開源代碼部署到其網(wǎng)絡之前進行研究。  

對于組織來說，有一個內(nèi)部管理人員來確保安全得到維護和迅速進行更新也是至關(guān)重要的。了解開源安全性以及如何管理開源組件的開發(fā)人員是管理內(nèi)部開源項目的最佳人選。

那么，開源是實現(xiàn)安全的最佳途徑嗎？這一切都取決于項目本身，但如果做得好，它肯定會為企業(yè)帶來許多無與倫比的安全優(yōu)勢。

原標題：Is Open Source the Greatest Path to Security?

作者：Darren Prehaye

鏈接：https://www.infosecurity-magazine.com/opinions/open-source-path-security/

 ?