关于开源安全，我们需要知道什么

原文：What to know about open source security 作者：Aaron Hurst，编译：御坂弟弟

很多公司都对开源技术情有独钟，那么在保证其安全性方面应该注意哪些问题呢？关于开源安全需要知道些什么 ？

像任何技术领域一样，开源需要有自己的安全措施才能顺利发展。而组织从使用开源技术中获得的一个主要好处是，它可以自由使用，而不是从特定的所有者那里获得。”开源” 指的是代码，比如数据库、应用程序和操作系统等软件的代码，企业可以根据对这些代码进行修改。然而，由于它来自公共领域，因此通常会有潜在漏洞，并且很可能被黑客利用。

在任何开源项目应用场景中，如果负责其安全的人没能掌握其所有漏洞，都有可能会受到影响。

Computer Disposals Ltd 的总监 Ben Griffin 解释道：”因为开源项目使用的代码是可以自由查看的，黑客可以轻易利用那些迟迟不给他们的应用程序打补丁的组织。对于开源项目使用者来说，尽快更新应用程序是当务之急。此外，跟踪各团队开源使用情况的清单有助于提高可见性和透明度，并确保不同团队不会使用同一组件的不同版本。同样，技术员工应该注意不要从开源库中复制和粘贴代码，因为这使软件容易受到日后漏洞的影响。应该建立一个开源政策，明确禁止复制和粘贴其他项目的此类代码。”

盯紧你的供应链

企业在与开源技术打交道时，也一定要时刻主意供应链的安全问题，不要在没有仔细检查其内容的情况下就同意使用任何软件。

“在共享开源代码时，最好的做法是控制你的开源供应链，” Scality 数字营销和社区高级总监 Stefano Maffulli 说，”对拿来的包进行’尽职调查’，尽可能减少依赖性，并在你的 CI 工具链中自动跟踪它们。你要避免陷入像我们最近看到的那些情况，即流行的库被犯罪分子劫持并修改为运送恶意软件，比如 2018 年秋天的 “right9ctrl” 风波，或者作为一种政治抗议行为完全从发行中删除，比如 2019 年秋天的 Chef 丑闻。

制定灾难恢复策略

在某些方面，关注开源技术的安全性与保护老板发行的软件的安全类似。其重点是，需要针对软件受威胁的情况事先制定好计划。

“除了为开源软件用户修复和升级代码，并鼓励开发人员定期监测补丁更新外，稳固的业务连续性和灾难恢复（BCDR）策略是解决任何与开源软件相关的风险、威胁系统和数据可用性的有效解决方案，” Datto 首席信息安全办公室 Ryan Weeks 说，“能够保持系统运行，并从攻击中快速恢复，有助于企业避免由这些安全风险造成的代价高昂的停机时间，包括从勒索软件、加密劫持、间谍软件到木马、蠕虫和 rootkits 等。”

研究谁在使用该软件

衡量什么开源技术值得在公司内部使用的一个很好的指标是其他哪些公司在使用它。

“组织应该使用已经被大型供应商采用或接受的开源软件，” Skybox Security 的首席解决方案架构师 Lior Ben Naon 说，”例如，在组织网络中，我们看到的红帽Linux 服务器明显多于我们看到的 Ubuntu 或 CentOS 发行版。这是由于红帽的扩展支持机制，以及他们对其 Linux 代码库的所有权。因此，在这个例子中，Linux 从开源代码开始，但被一个主要供应商采用，这帮助其提高了安全水平，并允许更好的补丁过程，等等。”

API 中的个人信息

公司应该警惕任何可能存在于应用编程接口（API）中的个人信息。

SIOS Technology 全球营销副总裁 Frank Jablonski 表示：”开放 API 的安全风险不仅限于黑客和恶意软件。开放的数据和代码会导致应用程序之间的数据共享，别不开放 API 所获得的个人信息量无疑可以与第三方共享。这一点从 Facebook 发誓要更好地保护个人信息就可以看出。API 可以读取你的所有数据，也可以从你的另一个应用中读取数据。开放 API 的安全功能，如 API 网关，应该为用户提供最大的保护。”