開源的終結?

2021-08-13 08:34:59
開源云中文社區
云計算
盡管漏洞開發和披露通常很混亂,但針對世界上最大、最重要的開源項目運行技術復雜的“紅隊”程序感覺有點多余。很難想象研究人員和機構如此天真或失職,不理解這種行為的潛在危害。

幾周前,Linux社區被一個令人不安的消息困擾了——明尼蘇達大學研究人員開發(但事實證明,他們并沒有完全執行)了一種方法,將他們稱之為“hypocrite commits”的東西引入Linux內核——其想法是分發難以檢測的行為,這毫無意義,但攻擊者可能發現漏洞。

很快,這些人被禁止(至少暫時)對內核做提交。他們隨后公開道歉。

盡管漏洞開發和披露通常很混亂,但針對世界上最大、最重要的開源項目運行技術復雜的“紅隊”程序感覺有點多余。很難想象研究人員和機構如此天真或失職,不理解這種行為的潛在危害。

同樣確定的是,維護人員和項目治理人員有義務強制執行策略,避免浪費時間。他們努力生產不包含漏洞的內核版本。但不要忽略了一點——這是一項研究,而不是純粹出于惡意,它揭示了一種軟件(和組織)漏洞,需要技術和系統性的緩解。

筆者認為“hypocrite commits”的爭論從各個方面來看都是相關趨勢的征兆,這些趨勢威脅著整個擴展的開源生態系統及其用戶。這一生態系統長期以來一直在與規模、復雜性以及自由和開源軟件(FOSS)等問題作斗爭。復雜性體現在:

——這些大型開源項目現在有了很大的目標。

——它們的復雜性和速度已經超過了傳統common方法甚至更先進的治理模式所能應付的規模。

——它們正在演變為相互商品化。例如,越來越難以明確地說明“Linux”或“Kubernetes”是否應被視為分布式應用程序的“操作系統”。營利組織已經注意到了這一點,并開始圍繞“全棧”做文章。

——在這樣做的過程中,一些營利組織開始扭曲自由和開源軟件參與的傳統模式。許多實驗正在進行中。與此同時,資金、員工對自由和開源軟件的承諾以及其他指標似乎在下降。

——開源軟件項目和生態系統正在以不同的方式適應,有時使營利組織難以感到“賓至如歸”或從參與中獲益。

與此同時,威脅格局不斷演變:

——攻擊者更大、更聰明、更快、更耐心,導致長期作戰、供應鏈中斷等。

——攻擊在財政、經濟和政治上比以往任何時候都更有利可圖。

——用戶比以往任何時候都更容易受到攻擊,接觸到更多的媒介。

——越來越多地使用公共云創建了新的技術和組織單一文化層,使攻擊更容易。

——復雜的商用現貨(COTS)解決方案部分或全部由開源軟件組裝而成,創建了復雜的攻擊面,其組件(和交互)可以被別有用心的參與者訪問和理解。

——軟件組件化使新的供應鏈攻擊成為可能。

——與此同時,所有這一切都發生在組織尋求擺脫非戰略專業知識、將資本支出轉移到運營支出、并逐漸依賴云供應商和其他實體來完成艱巨的安全工作之際。

最終的結果是,Linux內核的規模和重要性并沒有準備好應對改變游戲規則的超大規模威脅模型。在我們正在研究的具體案例中,研究人員能夠不太費力地入侵站點(使用靜態分析工具評估已經確定需要貢獻者關注的代碼單元),通過電子郵件非正式地提出“修復”等。

這是嚴重的背叛,實際上是一個受信任系統的“內部人”的背叛,該系統在歷史上一直運作良好,能夠生成健壯、安全的內核版本。濫用信任本身改變了游戲,而隱含的后續要求——通過系統的緩解措施來增強相互信任——也變得越來越重要。

但你如何應對這樣的威脅呢?在大多數情況下,正式驗證實際上是不可能的。靜態分析可能無法揭示精心設計的入侵。必須保持項目進度(畢竟,還有一些已知的bug需要修復)。而且威脅是不對稱的:正如老話說的,藍隊需要抵御一切,紅隊只需要成功一次。

筆者看到了一些補救的機會:

限制單一文化的傳播。像Alva Linux和AWS的Open Distribution of ElasticSearch這樣的東西是好的,部分原因是它們保持了廣泛使用的FOSS解決方案的免費和開源,但也因為它們注入了技術多樣性。

重新評估項目治理、組織和資金,以減少對人力因素的完全依賴,并激勵營利性公司貢獻其專業知識和其他資源。由于開源的開放性,大多數營利性公司都會樂于為開源做出貢獻,盡管如此,但在許多社區內,這可能需要對現有的貢獻者進行文化變革。

通過簡化堆棧和驗證組件加速商品化。將適當的安全責任提升到應用程序層。

基本上,筆者提倡的是,像Kubernetes這樣的編排器不應該這么重要,Linux的影響應該更小。最后,我們應該盡可能快地對unikernels等東西的使用進行格式化。

無論如何,我們需要確保公司和個人都能提供開源所需的資源。

原文鏈接:

https://techcrunch.com/2021/07/18/the-end-of-open-source/

收藏
免責聲明:凡注明為其它來源的信息均轉自其它平臺,由網友自主投稿和發布、編輯整理上傳,對此類作品本站僅提供交流平臺,不為其版權負責。本網站對有關資料所引致的錯誤、不確或遺漏,概不負任何法律責任。若有來源標注錯誤或侵犯了您的合法權益,請作者持權屬證明與本站聯系,我們將及時更正、刪除,謝謝。聯系郵箱:leixiao@infoobs.com