開(kāi)源代碼：網(wǎng)絡(luò)攻擊的下一個(gè)重點(diǎn)目標(biāo)

開(kāi)源軟件的普遍存在帶來(lái)了重大的安全風(fēng)險(xiǎn)，因?yàn)樗鼮槭褂谜?有意或無(wú)意地)引入漏洞打開(kāi)了大門。廣泛使用的Log4j代碼庫(kù)中的嚴(yán)重漏洞為大家做了提醒。

開(kāi)源代碼對(duì)網(wǎng)絡(luò)犯罪分子的吸引

使用廣泛而便于被利用的開(kāi)源軟件對(duì)網(wǎng)絡(luò)犯罪分子很有吸引力，攻擊者可以使用各種方法來(lái)混淆對(duì)開(kāi)源項(xiàng)目做出的惡意更改，并且，通過(guò)審查代碼來(lái)了解安全隱患的嚴(yán)格與否可能會(huì)根據(jù)項(xiàng)目而不同，因此，如果沒(méi)有嚴(yán)格的安全控制措施來(lái)檢測(cè)這些惡意更改，那么很可能會(huì)被忽視，隨之被分發(fā)并包含在眾多公司的軟件中。

對(duì)開(kāi)源代碼的攻擊所產(chǎn)生的影響會(huì)隨著規(guī)模和實(shí)體不同而不同。例如，去年7月，研究人員發(fā)現(xiàn)了9個(gè)漏洞，這幾個(gè)漏洞影響了EspoCRM、Pimcore 和 Akaunting這3個(gè)開(kāi)源項(xiàng)目，并且這些項(xiàng)目經(jīng)常被中小型企業(yè)所使用。更重要的是，2017年數(shù)據(jù)泄露事件是由于該組織的開(kāi)源代碼中漏洞被利用，從而影響了1.47 億人的個(gè)人數(shù)據(jù)。

能否舍棄開(kāi)源代碼?

CISA曾表示，數(shù)億臺(tái)設(shè)備可能受到Log4j漏洞的影響。盡管開(kāi)源代碼的漏洞影響嚴(yán)重，但完全放棄使用開(kāi)源是不現(xiàn)實(shí)的。幾乎所有現(xiàn)代軟件都是由開(kāi)源組件構(gòu)建的，在沒(méi)有開(kāi)源的情況下重建這些組件將需要大量的時(shí)間和金錢來(lái)生產(chǎn)，即使是很小的應(yīng)用程序。全球超60%的網(wǎng)站在Apache和Nginx服務(wù)器上運(yùn)行，據(jù)報(bào)道90%的IT領(lǐng)導(dǎo)者定期使用企業(yè)開(kāi)源代碼。

測(cè)試和保護(hù)您的軟件

與其擔(dān)心如何避開(kāi)開(kāi)源組件，更現(xiàn)實(shí)的方法是將安全融入軟件開(kāi)發(fā)團(tuán)隊(duì)中，將應(yīng)用軟件安全測(cè)試提前。這一部分可以由三部分組成，首先要掃描和測(cè)試代碼安全，其次建立一個(gè)明確的流程來(lái)解決和修復(fù)出現(xiàn)的漏洞，最后創(chuàng)建一個(gè)內(nèi)部策略，其中設(shè)置了解決安全問(wèn)題的規(guī)則。

在使用工具檢測(cè)代碼安全時(shí)，靜態(tài)代碼分析是很好的第一步。通過(guò)靜態(tài)代碼檢測(cè)分析可以分析源代碼中是否存在缺陷及安全漏洞。此外，通過(guò)將嚴(yán)格的代碼審查與動(dòng)態(tài)分析和開(kāi)源組件成分分析相結(jié)合，以發(fā)現(xiàn)更深層次的漏洞問(wèn)題。

掃描檢測(cè)完成后，組織應(yīng)該有一個(gè)明確的流程來(lái)解決發(fā)現(xiàn)的漏洞。開(kāi)發(fā)人員可能會(huì)發(fā)現(xiàn)自己面臨發(fā)布截止日期，或者軟件補(bǔ)丁可能需要重構(gòu)整個(gè)程序，這將導(dǎo)致延長(zhǎng)時(shí)間。通過(guò)明確的后續(xù)步驟來(lái)解決漏洞和緩解問(wèn)題，幫助開(kāi)發(fā)人員解決艱難的選擇，并保護(hù)組織的安全。

保護(hù)開(kāi)源免受未來(lái)攻擊

整個(gè)行業(yè)都在關(guān)注進(jìn)一步保護(hù)開(kāi)源代碼安全的必要性。除了全行業(yè)努力保護(hù)基于開(kāi)源代碼構(gòu)建的軟件免受網(wǎng)絡(luò)威脅外，組織應(yīng)該對(duì)其防御戰(zhàn)略采取內(nèi)部積極主動(dòng)的方法。

這包括為他們自研代碼和他們所依賴的開(kāi)源代碼實(shí)施安全檢測(cè)和控制程序。制定內(nèi)部政策和指南，可以幫助識(shí)別使用開(kāi)源軟件的風(fēng)險(xiǎn)，并確定用于管理該風(fēng)險(xiǎn)的控制措施。這樣不但能利用開(kāi)源代碼所帶來(lái)的便捷，同時(shí)還能創(chuàng)建一個(gè)能夠抵御未來(lái)攻擊的軟件開(kāi)發(fā)環(huán)境。

文章來(lái)源：

https://www.darkreading.com/vulnerabilities-threats/open-source-code-the-next-major-wave-of-cyberattacks