说到安全,通常的重点一直是限制访问以防止未经授权的入侵。无论是锁上房屋的物理门还是密封组织的数字网络,安全始终侧重于创建一个封闭的环境。然而,在过去几年中,这种封闭的安全方法受到开源软件和硬件的挑战,组织依赖公开可用的代码在其网络中部署和构建应用程序。开源的演变开源,涉及组织使用开放和免费提供的代码,如今越来越受欢迎,根据Synopsys开源安全和风险分析报告的最新数据,代码库中78%的代码现已开源。在考虑开源的好处时,不仅代码可以免费使用,而且还为组织提供了更大的透明度,因为他们可以看到他们正在使用的源代码并评估其安全性。他们还可以看到对代码所做的更改,并与开发人员一起改进代码。此外,由于许多组织都在使用相同的代码,因此通常可以更快地识别错误和弱点,并且用户社区将提供有关如何修复它们的专家建议。这意味着有更多的人在查看代码,所有这些都是为了使其尽可能安全。支持开源的最著名组织之一是特斯拉,其首席执行官埃隆马斯克早在2018年就选择开源其代码。马斯克意识到世界的未来将在很大程度上依赖于电动汽车,但电动汽车要取得成功,人们需要投资于他们的安全。作为回应,马斯克开源了特斯拉的软件,允许其他人基于它制造汽车,相信它是安全的。马斯克追随许多其他组织的脚步,包括Facebook、微软和谷歌,这些组织都从开源项目中受益。这些技术领导者不仅通过漏洞奖励和安全评估向安全研究人员开放他们的网络,而且他们还资助开源项目并拥有致力于开源计划的团队。例如,数字安全设计(DSbD)计划将通过创建一个新的、更安全的硬件和软件生态系统,从根本上更新不安全的数字计算基础设施的基础。DSbD项目已经交付了DSbD技术的第一个片上系统(SoC)原型和开发板Morello的硬件实现。Morello开发板是英国Arm公司基于剑桥大学计算机实验室CHERI保护模型开发的Morello原型架构实测平台。CHERI旨在提供实际可部署的性能和兼容性,只需要对现有软件和硬件进行最小的更改:重新编译现有的C/C++,并稍作调整以保护具有函数的指针。这结合了硬件实现、完整的软件堆栈和广泛使用的开源软件的改编,以提高安全性和鼓励测试。开源思维是航空业多年来信奉的一种思维方式。当航空事故发生时,航空公司不会逃避,而是整个航空业共同努力调查事件并建造更安全的飞机。这种社区精神使航空旅行成为当今最安全的交通方式。然而,这当然也是有风险的。那么,主要风险是什么?如何克服这些风险?开源风险开源的最大风险之一是它没有得到管理或经常更新,这可能会给用户带来风险。虽然特斯拉开源软件的用户可以放心,其代码将得到彻底管理,但对于规模较小且经验不足的开发人员而言,情况并非总是如此,尤其是在他们免费赠送一些东西的情况下。如果代码不更新,又没有人负责更新,那么出问题时,谁也追不上责任。最终,它只会受到让用户面临严重风险的错误和漏洞的困扰。事实上,最近的SynopsysOSSRA报告显示81%的开源代码包含漏洞。因此,当组织评估开源软件和硬件时,必须进行尽职调查并分析产品的质量,并在将其引入组织结构之前了解它的创建者。找出谁负责修改和更新代码,并确保他们有资源、精力和时间来执行必要的安全更新;否则,未来的风险无疑会出现。这是世界各国政府正在评估开源并考虑对该行业进行监管的关键原因之一。拟议的法规将确保开源项目拥有所有者并负责更新。然而,这可能会阻碍市场发展,因为潜在的漏洞会导致希望进入开源领域的开发人员减少。推动开源开发开源通过汇集来自不同来源的专业知识来开发更好、更安全的产品,为组织提供了真正的安全优势。但是,组织必须在将开源代码部署到其网络之前进行研究。对于组织来说,拥有一名内部经理以确保安全得到维护和快速更新也很重要。了解开源安全以及如何管理开源组件的开发人员是管理内部开源项目的最佳人选。那么,开源是通往安全的最佳途径吗?这完全取决于项目本身,但如果做得好,它肯定能为企业带来许多无可比拟的安全优势。原标题:开源是通往安全的最佳途径吗?作者:DarrenPrehaye链接:https://www.infosecurity-magazine.com/opinions/open-source-path-security/
