Linux安全問題的google重視

roc_guo發表於2021-03-13

支撐萬億美元規模數字經濟基礎設施的Linux,終於擁有了兩名全職帶薪安全工程師。

Google昨日宣佈將為兩名專注Linux核心安全的開發人員提供薪水,此舉對於Google來說雖然只是九牛一毛的資金投入,其意義卻不同尋常。

Linux安全問題的google重視Linux安全問題的google重視

以Linux為代表的自由和開源軟體(FOSS)已成為現代經濟的重要組成部分,據估計,FOSS在現代軟體中的佔比高達80%-90%,任何安全問題都有可能給各行各業帶來災難性的後果。

但令人難以想象的是,在開發安全口號響徹雲天的今天,即便是Linux這樣的支柱性的開源軟體專案,也嚴重缺乏安全資源支援,甚至沒有“全職”安全人員。

Google對Linux原生安全生態或者說基礎安全問題的“人工救助”和呼籲,一方面說明Linux安全問題,尤其是Linux核心安全的“安全債”已經威脅到Google自身業務,另一方面也說明,開源軟體的原生安全不是設立一個高額漏洞賞金計劃,“用錢砸”就能解決的問題,Google希望能夠釋放一個訊號,吸引其他科技公司也重視並投入Linux安全。

頭號威脅:開源供應鏈安全

對於Google以及很多依賴Linux的科技巨頭來說,緩解處於上游的Linux安全威脅變得更加緊迫,因為Google在開源軟體上的賭注越來越大,Google甚至為Linux基金會貢獻了Kubernetes,後者已成為雲原生計算運動的關鍵。

Google員工軟體工程師Dan Lorenc說:“隨著開源在關鍵基礎設施中的重要性不斷提升,開原始碼工具的安全性問題也變得更為緊迫。”

Google一直在擴大對安全的關注,這是使Google Cloud雲服務產品對持有超敏感資料的公司客戶更具吸引力的舉措的一部分。

“希望這是一個積極的反應。”Lorenc說道:“我們正在努力領先於供應鏈攻擊的興起。”

Linux基金會的開源安全基金會(OpenSSF)與哈佛大學創新科學實驗室(LISH)合作釋出了一份最新的報告,該報告強調了對包括Linux在內的開源生態的安全性需求。

Lorenc說,隨著Linux在供應鏈和其他大型系統中變得越來越重要,它自然已成為網路罪犯的更大目標。現在許多公司都在出售安全解決方案,但是支援Linux核心仍被視為加強基本安全性的一種方法。

透過開源安全基金會,大約有20,000名貢獻者按自己的時間來維護和開發Linux。儘管其中許多人對安全性有些興趣,但實際投入很少,而Google的舉動可能有助於使安全性成為Linux專案的重中之重。

有趣的是,Google資助的兩個維護者Gustavo Silva和Nathan Chancellor是一對夫婦,Google希望一筆穩定可觀的薪水可以鼓勵他們全身心投入Linux核心的安全開發,這對夫婦一直是此領域最活躍的參與者之一。

沒人願意在安全問題上花時間

開源軟體的“安全債”不僅僅是資金問題,更主要的是觀念和時間問題。

2020年的開源貢獻者調查中,在被問及有哪些外部資源對開源專案安全性產生最大影響時,將近三分之二的受訪者提到了錯誤/安全修復程式,三分之一的受訪者提及免費的安全稽核(調查參與者可以選擇多個答案)。大約25%的受訪者表示他們希望在其持續整合流程中新增與安全性相關的工具。大約18%的人要求提供有關安全軟體開發的免費課程。

顯然,安全確實是開源軟體貢獻者的首要任務,但是,當被問及是否將時間花在與安全有關的活動上時,只有2.3%的受訪者回答是。此外,調查物件表示他們不希望將來在安全上投入更多時間。

總而言之,雖然開源軟體貢獻者認為安全性很重要,但他們不想成為負責安全性的人。他們寧願透過第三方稽核或開源安全管理工具(例如FOSS)轉移安全性相關工作負載。

報告指出,鑑於這些發現,在可行的情況下,管理開源軟體專案的組織應為額外的外部安全資源提供資金。安全性流程自動化程度越高,專案受到的保護就應越多。

開源軟體安全教育市場巨大

2020年,大多數開源軟體貢獻者調查的受訪者透過非正式手段(而不是正式課程、公司培訓課程或認證)瞭解安全程式碼開發。

最受歡迎的資源是線上論壇(StackOverflow、Reddit等),將近51%的參與者將其視為學習安全最佳做法的有用場所。部落格和線上文章緊隨其後,約47%的受訪者選擇它們。(參與者可以選擇多個答案)。30%的受訪者選擇“其他”,其中最受歡迎的選項是工作經驗、同事與共同貢獻者之間的知識共享。

對於開發和/或依賴開源專案的組織和個人來說,可以根據上述調查結果,選擇貢獻者最常用的渠道和資源提供安全教育和培訓。例如,您可以針對特定的安全問題建立一個StackOverflow話題和共享中心,或者維護一個安全開發為主題的部落格文章列表。

這其中蘊含巨大的安全培訓機會。根據FOSS的調查結果,貢獻者對通用安全實踐的實施差異很大。例如,幾乎80%的受訪者表示他們的網站支援SSL/TLS,而41%的維護者或核心參與者專注於安全性。但是,只有26%的人制定了安全策略,只有22%的人在其專案中使用了威脅模型。


來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/69901823/viewspace-2762664/,如需轉載,請註明出處,否則將追究法律責任。

相關文章