在领导人
孤立的项目和松懈的检查不应该掩盖这个行业的一些领军人物正在沿着安全代码的良性道路前进。
商用Linux公司像规范,红帽,谷歌已经在很大地投资了开源的安全性和完整性。Netflix和Facebook等富裕,开源友好的公司,对提高开源质量的项目指示了相当大的资源。
据工程经理Jason Duell说,在Mozilla,安全责任由三个团队负责。一个小组在发现安全问题时对其进行分类。第二个团队进行“fuzzing”(对编译后的代码进行黑盒测试)来发现漏洞,第三个团队开发类似于Mozilla的安全和隐私特性内容安全策略.
Duell说,在他6年前来到Mozilla之前,对已开发代码进行模糊和严格测试一直是Mozilla开发文化的支柱。但是随着对开源威胁的意识的增强,Mozilla已经改变了其他的开发实践。
Duell说:“我们已经改变了各种实践,以适应敌人正在监视我们的公共源代码库提交的事实。”首先,对Mozilla代码的安全修复会在发布之前协调到位,从而给攻击者一个较小的操作窗口。大型的新特性在发布之前要经过安全团队的审核。
Canonical的云解决方案产品经理达斯汀·柯克兰(Dustin Kirkland)说,在开发Ubuntu Linux的Canonical公司,一个快速增长的安全团队审计Canonical的代码——总共有35000个软件包通过各种渠道作为Ubuntu的一部分发布。
与Mozilla一样,Canonical的安全操作跨越了许多不同的项目,从特性开发到代码审计。按照科尔曼的观点,柯克兰表示,供应链风险是一个主要问题。Canonical投入了相当多的资源来评估与其核心操作系统捆绑在一起的开源组件的可行性。
“With open source technology, we’re looking at whether it's better to adopt it or to fork it, then develop and extend it,” said Kirkland, who is a 20-year open source veteran and distribution maintainer of more than 20 open source projects. The company has come under fire from within the open source community when it opts to分叉现有的开放源代码,但柯克兰引用了开源优势之一的攻击能力。
“我们不会创造自己版本的OpenSSL和GPG,”Kirkland说。“但拥有加密库的替代方案很重要。我们需要多样性,特别是当我们了解到这些组成部分有多么脆弱的时候。”
我们现在都是开源的
尽管这可能会让人感到不舒服,但专家们表示,这是无法挽回的。Weinberg职业生涯的大部分时间都是作为他所谓的“信仰捍卫者”,对抗微软等商业供应商诋毁开源运动的企图。他说,曾经分隔“开源”和“闭源”的那堵墙很久以前就被推倒了。
他说:“现在已经没有什么专有软件了,因为很少有软件不依赖开源。”“世界已经转向了以某种形式‘社区开发’的软件。”
“我真的认为这是一种共同的责任,”Canonical的Kirkland说。“当你考虑到我们所有人是多么依赖一大堆开源软件时,你不得不希望(安全)成为一种共同的责任,而不是留给Linux基金会和红帽来解决这些问题。”
换句话说,我们可以咬牙切齿,揪心流血,但在2015年,所有制造、使用或依赖软件的公司实际上都是开源软件公司,不管他们是否知道这一点。这使他们成为问题和解决方案的一部分。
这个故事,“开源安全的状态”最初发布信息世界 .