侵權投訴
訂閱
糾錯
加入自媒體

程序員大本營GitHub遭黑客劫持,誰來為開源代碼安全問題買單?

開源代碼的安全戰(zhàn)役,有沒有另一種打開方式?

無論從哪個角度看,開源代碼的安全戰(zhàn)都是一場十分必要、不容退卻的全民戰(zhàn)爭。當然了,普通用戶只能打call,沖鋒陷陣的還得是軟件公司和程序員們。

對此,產(chǎn)業(yè)界也開始拿出了一些試圖從根源上解決問題的辦法。簡單說幾個:

一、漏洞獎勵

2012年,谷歌推出了Chrome獎勵計劃和漏洞獎勵計劃,鼓勵程序員找出其瀏覽器及在線服務中的具體弱點,使得廣泛使用的開源軟件盡可能不那么容易遭受攻擊,并為此支付500到3133美元不等的報酬。2013年,美國國家安全局也撥出了2510萬美元,用于“額外秘密購買軟件弱點”。

如今,漏洞賞金計劃已成為許多互聯(lián)網(wǎng)公司的重要安全策略之一,微軟推出了迄今為止最高的Windows Bug獎勵計劃,達到250000美金。蘋果、美國國防部、Facebook、騰訊、阿里ASRC、百度等為其漏洞支付的總金額也非常的驚人。

重賞之下,安全漏洞的時間差也有望有效減少。

二、新技術工具

無論是防止源代碼中的信息泄露,還是要尋找惡意文件、阻止惡意進程、保證端點安全,都有越來越多的技術工具可供使用,許多云安全公司和運營商等也都開始參與安全工具的開發(fā)。

比如最近的開源領導者峰會上,Linux基金會就宣布了Red Team(紅隊)項目。新項目將孵化開源網(wǎng)絡安全工具,以幫助提高開源軟件的安全性。

作為開源安全工具的孵化器,Red Team支持網(wǎng)絡范圍自動化,容器化滲透測試工具,二進制風險量化和標準驗證程序等。并且能夠在云上模擬黑客攻擊,用戶可以部署黑客腳本,并對現(xiàn)實中的團隊進行安全培訓。

諸如Commit Watcher等種種開源工具的出現(xiàn),幫助程序員查找潛在危險失誤,也正在使軟件開發(fā)過程變得大不相同。

三、加密算法

如果我們將數(shù)據(jù)信息看做是網(wǎng)絡世界最寶貴的財富,那么加密機制就是一個可以保護數(shù)據(jù)的保險箱。除了將箱體打造的更加水火不侵,“鎖芯”這道防線也需要不斷迭代。

尤其是現(xiàn)在越來越多的機構與企業(yè)選擇云計算技術作為復雜業(yè)務的解決方案,開源云平臺的安全問題也更加速咋,因此,數(shù)據(jù)加密算法的解決方案就顯得尤為重要了。

像是可以對企業(yè)數(shù)據(jù)進行安全分級,對等級高的數(shù)據(jù)先采用對稱算法進行加密,并將對稱算法產(chǎn)生的秘鑰進行非對稱加密存儲,從而兼顧數(shù)據(jù)和安全性,以及系統(tǒng)運行效率。

在硬件端,谷歌也剛剛推出了針對低端手機的新加密標準Adiantum,在沒有足夠計算能力芯片的前提下,也能實現(xiàn)高速計算來進行哈希算法加密及解密,從而提升終端設備的安全性能。

從長遠來看,開源社區(qū)更加靈活和開放的構建方式,會令它繼續(xù)成為開發(fā)江湖的“根據(jù)地”。但當開放與自由成為雙刃劍,又成為一個流著“奶與蜜”的數(shù)據(jù)豐饒之地,就很容易被不法之徒虎視眈眈。至少從GitHub這件事上看,開源代碼的安全問題,應該已經(jīng)來到了一個危險的臨界點,也給一直以來“違規(guī)飆車”的業(yè)界敲響了警鐘。

用開源軟件的倡導者Eric S. Raymond的話來說——高質(zhì)量的代碼,就是對程序自己最好的注釋。(作者:腦極體)

<上一頁  1  2  3  
聲明: 本文系OFweek根據(jù)授權轉(zhuǎn)載自其它媒體或授權刊載,目的在于信息傳遞,并不代表本站贊同其觀點和對其真實性負責,如有新聞稿件和圖片作品的內(nèi)容、版權以及其它問題的,請聯(lián)系我們。

發(fā)表評論

0條評論,0人參與

請輸入評論內(nèi)容...

請輸入評論/評論長度6~500個字

您提交的評論過于頻繁,請輸入驗證碼繼續(xù)

暫無評論

暫無評論

安防 獵頭職位 更多
文章糾錯
x
*文字標題:
*糾錯內(nèi)容:
聯(lián)系郵箱:
*驗 證 碼:

粵公網(wǎng)安備 44030502002758號