支撑万亿数字经济基础设施的Linux,终于有了两位全职带薪安全工程师。谷歌昨天宣布,将向两名专注于Linux内核安全的开发人员提供薪水。此举虽然对谷歌来说只是小额资金投入,但意义非凡。以Linux为代表的自由开源软件(FOSS)已成为现代经济的重要组成部分。据估计,FOSS占现代软件的比例高达80%-90%。到灾难性的后果。但难以想象的是,在发展安全口号响彻天际的今天,即便是像Linux这样的支柱开源软件项目,也严重缺乏安全资源支持,甚至连“专职”安全人员都没有。谷歌对Linux原生安全生态或基础安全问题的“人为拯救”和呼吁,一方面表明Linux安全问题,尤其是Linux内核安全的“安全债”已经威胁到谷歌自身业务,另一方面,也说明了开源软件固有的安全性,并不是设立高额漏洞赏金计划、“花钱”就能解决的问题。谷歌希望发出一个信号,吸引其他科技公司关注和投资Linux安全。#1威胁:开源供应链安全减轻上游Linux安全威胁对于谷歌和许多依赖Linux的科技巨头来说变得更加紧迫,因为它越来越多地押注于开源软件。为Kubernetes做出了贡献,它已成为云原生计算运动的关键。“随着开源在关键基础设施中的重要性越来越大,开源代码工具的安全性变得更加紧迫,”谷歌员工软件工程师DanLorenc说。谷歌一直在扩大其对安全性的关注,这是使谷歌云的云产品对持有超敏感数据的企业客户更具吸引力的举措的一部分。“希望这是一个积极的回应,”洛伦茨说。“我们正努力在供应链攻击兴起之前保持领先地位。”一份新报告强调了包括Linux在内的开源生态系统对安全性的需求。Lorenc说,随着Linux在供应链和其他大型系统中变得越来越重要,它自然成为网络犯罪分子的更大目标。许多公司现在销售安全解决方案,但支持Linux内核仍被视为加强基本安全的一种方式。通过开源安全基金会,大约20,000名贡献者利用自己的时间维护和开发Linux。尽管他们中的许多人对安全性有些兴趣,但他们的实际投入很少,而谷歌的举动可能有助于将安全性作为Linux项目的重中之重。有趣的是,谷歌资助的两位维护者GustavoSilva和NathanChancellor是一对夫妇。谷歌希望稳定丰厚的薪水能够激励他们全身心投入到Linux内核的安全开发中。这对夫妇一直是这个领域最活跃的。参与者之一。没有人愿意在安全问题上花时间开源软件的“安全债”不仅仅是钱的问题,更重要的是理念和时间的问题。在2020年开源贡献者调查中,近三分之二的受访者在被问及哪些外部资源对开源项目安全性影响最大时提到了错误/安全修复,三分之一的受访者提到了免费安全审计(调查参与者可以选择多个答案)。大约25%的受访者表示他们希望将与安全相关的工具添加到他们的持续集成过程中。大约18%的人要求提供有关安全软件开发的免费课程。显然,安全确实是开源软件贡献者的首要任务,然而,当被问及他们是否将时间花在与安全相关的活动上时,只有2.3%的受访者回答是。此外,受访者表示,他们预计未来不会在安全方面花费更多时间。总而言之,虽然开源软件贡献者认为安全很重要,但他们不想成为对此负责的人。他们宁愿通过第三方审计或开源安全管理工具(如FOSS)来卸载与安全相关的工作负载。报告指出,鉴于这些发现,管理开源软件项目的组织应该在可行的情况下资助额外的外部安全资源。您的安全流程自动化程度越高,您的项目就越应该受到保护。开源软件安全教育市场巨大2020年,开源软件贡献者调查的大多数受访者通过非正式方式(与正式课程、公司培训课程或认证相对)了解安全代码开发。最受欢迎的资源是在线论坛(StackOverflow、Reddit等),近51%的参与者认为这是学习安全最佳实践的有用场所。其次是博客和在线文章,大约47%的受访者选择了它们。(参与者可以选择一个以上的答案)。30%的受访者选择了“其他”,其中工作经验、同事和共同贡献者之间的知识共享是最受欢迎的选项。对于开发和/或依赖开源项目的组织和个人,根据上述发现,选择贡献者最常用的渠道和资源进行安全教育和培训。例如,您可以为特定的安全问题创建一个StackOverflow线程和共享中心,或者维护一个关于安全开发主题的博客文章列表。其中蕴藏着巨大的安全培训机会。根据FOSS的调查结果,贡献者对常见安全实践的实施差异很大。例如,近80%的受访者表示他们的网站支持SSL/TLS,而41%的维护者或核心参与者关注安全性。然而,只有26%的人制定了安全策略,并且只有22%的人在他们的项目中使用了威胁模型。【本文为专栏作者“安安牛”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此查看作者更多好文
