程序員大本營GitHub遭黑客劫持,誰來為開源代碼安全問題買單?
開源代碼的安全戰(zhàn)役,有沒有另一種打開方式?
無論從哪個角度看,開源代碼的安全戰(zhàn)都是一場十分必要、不容退卻的全民戰(zhàn)爭。當然了,普通用戶只能打call,沖鋒陷陣的還得是軟件公司和程序員們。
對此,產(chǎn)業(yè)界也開始拿出了一些試圖從根源上解決問題的辦法。簡單說幾個:
一、漏洞獎勵
2012年,谷歌推出了Chrome獎勵計劃和漏洞獎勵計劃,鼓勵程序員找出其瀏覽器及在線服務中的具體弱點,使得廣泛使用的開源軟件盡可能不那么容易遭受攻擊,并為此支付500到3133美元不等的報酬。2013年,美國國家安全局也撥出了2510萬美元,用于“額外秘密購買軟件弱點”。
如今,漏洞賞金計劃已成為許多互聯(lián)網(wǎng)公司的重要安全策略之一,微軟推出了迄今為止最高的Windows Bug獎勵計劃,達到250000美金。蘋果、美國國防部、Facebook、騰訊、阿里ASRC、百度等為其漏洞支付的總金額也非常的驚人。
重賞之下,安全漏洞的時間差也有望有效減少。
二、新技術工具
無論是防止源代碼中的信息泄露,還是要尋找惡意文件、阻止惡意進程、保證端點安全,都有越來越多的技術工具可供使用,許多云安全公司和運營商等也都開始參與安全工具的開發(fā)。
比如最近的開源領導者峰會上,Linux基金會就宣布了Red Team(紅隊)項目。新項目將孵化開源網(wǎng)絡安全工具,以幫助提高開源軟件的安全性。
作為開源安全工具的孵化器,Red Team支持網(wǎng)絡范圍自動化,容器化滲透測試工具,二進制風險量化和標準驗證程序等。并且能夠在云上模擬黑客攻擊,用戶可以部署黑客腳本,并對現(xiàn)實中的團隊進行安全培訓。
諸如Commit Watcher等種種開源工具的出現(xiàn),幫助程序員查找潛在危險失誤,也正在使軟件開發(fā)過程變得大不相同。
三、加密算法
如果我們將數(shù)據(jù)信息看做是網(wǎng)絡世界最寶貴的財富,那么加密機制就是一個可以保護數(shù)據(jù)的保險箱。除了將箱體打造的更加水火不侵,“鎖芯”這道防線也需要不斷迭代。
尤其是現(xiàn)在越來越多的機構與企業(yè)選擇云計算技術作為復雜業(yè)務的解決方案,開源云平臺的安全問題也更加速咋,因此,數(shù)據(jù)加密算法的解決方案就顯得尤為重要了。
像是可以對企業(yè)數(shù)據(jù)進行安全分級,對等級高的數(shù)據(jù)先采用對稱算法進行加密,并將對稱算法產(chǎn)生的秘鑰進行非對稱加密存儲,從而兼顧數(shù)據(jù)和安全性,以及系統(tǒng)運行效率。
在硬件端,谷歌也剛剛推出了針對低端手機的新加密標準Adiantum,在沒有足夠計算能力芯片的前提下,也能實現(xiàn)高速計算來進行哈希算法加密及解密,從而提升終端設備的安全性能。
從長遠來看,開源社區(qū)更加靈活和開放的構建方式,會令它繼續(xù)成為開發(fā)江湖的“根據(jù)地”。但當開放與自由成為雙刃劍,又成為一個流著“奶與蜜”的數(shù)據(jù)豐饒之地,就很容易被不法之徒虎視眈眈。至少從GitHub這件事上看,開源代碼的安全問題,應該已經(jīng)來到了一個危險的臨界點,也給一直以來“違規(guī)飆車”的業(yè)界敲響了警鐘。
用開源軟件的倡導者Eric S. Raymond的話來說——高質(zhì)量的代碼,就是對程序自己最好的注釋。(作者:腦極體)
請輸入評論內(nèi)容...
請輸入評論/評論長度6~500個字
圖片新聞
最新活動更多
- 高級軟件工程師 廣東省/深圳市
- 自動化高級工程師 廣東省/深圳市
- 光器件研發(fā)工程師 福建省/福州市
- 銷售總監(jiān)(光器件) 北京市/海淀區(qū)
- 激光器高級銷售經(jīng)理 上海市/虹口區(qū)
- 光器件物理工程師 北京市/海淀區(qū)
- 激光研發(fā)工程師 北京市/昌平區(qū)
- 技術專家 廣東省/江門市
- 封裝工程師 北京市/海淀區(qū)
- 結構工程師 廣東省/深圳市