据 ZDNet 报道,在最新的研究中, Linux 基金会确定了最重要的开源组件,并且发现它们的共同问题和安全漏洞。
根据红帽最新的一份研究表明,开源软件在企业已经占据主导地位。情况可能不止如此,另一份更早的研究发现,开源软件占所有软件的 80%-90%。今天,很多软件或程序是建立在开源组件上的。
Census Program II 报告有很大意义。虽然不是最终报告,但它是这类分析中的首次重大研究。它不仅向前迈出重要一步,而且提出一种理解和解决开源软件结构和安全复杂性的方法。
具体来说,它不仅可以识别应用程序中最常用的自由和开源软件(FOSS)组件,而且能检查它们潜在的漏洞。
为开展这项工作,Linux 基金会基础架构联盟(CII)和 LISH 与 SCA 和应用安全公司合作,比如 Snyk 和 Synopsys 网络安全研究中心。它们将个人使用的数据与公开可用的数据集结合起来,从而识别 200 多个最常用的开源软件项目。
当然,研究对象不是你想到的那些大名鼎鼎的开源项目,比如 Apache、MySQL、Linux。而是一些在基础上很重要,使用最广泛的小型的基础构建块程序。
哈佛商学院教授兼 Census II 项目联合负责人说,“FOSS 长期以来一直被视为爱好者的领域。然而,它不仅成为现代经济的组成部分,并且是我们日常社会生活技术的基本组成部分,比如智能手机、汽车、物联网以及许多其他技术。了解使用最广泛和最脆弱的组件有利于我们确保数字经济和生态系统的持续健康。”
如果你不注意这些隐藏的小型程序,那它们可能带来烦。例如, OpenSSL “心脏滴血”漏洞,其真正问题不在于 OpenSSH 安全程序,而是其更底层的加密库。
假如你是最终用户,可能从未听说过这些 low-level 程序。正如风险资本家 Mike Volpi写道,“开源的真正客户是开发人员,他们经常发现这些软件、然后下载并将其集成到他们正在从事项目的原型版本中。”
研究发现,使用和成为最受欢迎的 FOSS 软件包的最大贡献者之间存在高相关性。通过对 2017 年 GitHub 数据的分析发现,一些最活跃的 FOSS 开发人员为项目做出很大贡献,而他们留名多为微软、谷歌、IBM 或英特尔的员工电子邮件地址。
首先是程序命名随意。缺乏针对软件组件的标准化命名方案,让跟踪这些程序成为一个主要难题。这不是开源软件所独有的问题。美国国家标准与技术研究院(NIST)和美国国家电信和信息管理局(NTIA)数十年来一直努力解决这一问题。
Linux 基金会和合作伙伴认为,“迫切需要一套标准化的软件组件命名纲要。除非有了标准化的命名方案,否则软件安全性、透明度等方面的策略发挥的作用会受限”。
另一个问题在开源圈太常见了,就是许多项目仍然存在于单独的开发人员账户下。CII 团队发现,在分析的 10 个最常用的软件包中,有 7 个托管在个人开发人员账户下。如果账户被黑客入侵,软件包被恶意利用,那后果非常严重。
在另一个例子中,黑客获得流行的 Event-Stream Javascript 库的访问权限,并在代码中添加后门。然后,他将恶意代码加到库中,从而能盗取比特币。
最终的问题在于,开源没有摆脱传统软件的“诅咒”。开发人员已经使用老程序的最新版本,但下游开发者依然使用老旧程序。当新的替换软件包可完成相同工作时,这些开发人员往往不愿迁移。尤其是新组件出现兼容性错误时,更是如此。
另外,如果不能保证有额外收益,那么切换到新软件会有财务和时间成本。但是,老旧程序尚未更新且被被广泛使用,因此可能发现安全漏洞,安全性让人担忧。
简而言之,开源开发人员必须开始解决遗留软件的问题。虽然维护代码并不像开发新代码那样充满乐趣,但这是必须要做的工作。
google才几岁?[url=谈红色变,红是造假的代名词吧,红你妹啊。: 看着牙疼!看着牙疼!搞笑呢?能说脏话吗?不能,那没什么好说的了!苏苏呵呵哦?有人爱我吗?System76还有自己的OS。现在可以递送到很多地区了。英语太差了,回去补课吧。腾讯,多年在中国占据软件第一的位置,可惜,除了QQ、微信外,什么都没有做出来。联合查询呢?
hash join有了么?垃圾文章!挺好中国,还得是华为!赞!中国人就是不干正事,搞什么少数民族语言,把libreoffice加上系列码,都是找骂的事,就是不干正事。腾讯也搞芯片,太搞笑了吧?腾讯存在多少年了?过去这么多年腾讯干什么去了?
class B{void m(){t();s();}中國自己制定了文檔標準,自己都不用,怎麼讓別人瞧得起呢?hello测试是不是真的好个屌,就是一骗子喜大普奔!这个core的广告我非常赞同!PgSQL迟早会是第一。Windows只是个OS,LINUX是整个完整的开发、应用、办公环境。有什么好比的呢?
把买Windows的钱捐给Linux基金更好吧。一群无聊的人上述表达式有一处错误。老实说,除了最后一个,其他我都会,请重新启动计算机!你好,请问analysis中的属性标签是如何定义的?比如:“role”。另外,这里的timepark如何加入的?我和我的小伙伴都惊呆了!database呢?node.js??哈哈其实主要就是没有好的office和email-client。土豪,我们做朋友吧!病的不轻啊。这个游戏从哪里下载的太给力了!太给力了!太给力了!太给力了!按照步骤搭建不出来求救史无前例的震撼!太给力了!太给力了!发个评论测试一下这个滚动框是不是真的太给力了!
