信息化觀察網(wǎng)

支撐萬億美元規(guī)模數(shù)字經(jīng)濟基礎設施的Linux，終于擁有了兩名全職帶薪安全工程師。

Google昨日宣布將為兩名專注Linux內核安全的開發(fā)人員提供薪水，此舉對于Google來說雖然只是九牛一毛的資金投入，其意義卻不同尋常。

以Linux為代表的自由和開源軟件（FOSS）已成為現(xiàn)代經(jīng)濟的重要組成部分，據(jù)估計，F(xiàn)OSS在現(xiàn)代軟件中的占比高達80%-90％，任何安全問題都有可能給各行各業(yè)帶來災難性的后果。

但令人難以想象的是，在開發(fā)安全口號響徹云天的今天，即便是Linux這樣的支柱性的開源軟件項目，也嚴重缺乏安全資源支持，甚至沒有“全職”安全人員。

Google對Linux原生安全生態(tài)或者說基礎安全問題的“人工救助”和呼吁，一方面說明Linux安全問題，尤其是Linux內核安全的“安全債”已經(jīng)威脅到Google自身業(yè)務，另一方面也說明，開源軟件的原生安全不是設立一個高額漏洞賞金計劃，“用錢砸”就能解決的問題，Google希望能夠釋放一個信號，吸引其他科技公司也重視并投入Linux安全。

頭號威脅：開源供應鏈安全

對于Google以及很多依賴Linux的科技巨頭來說，緩解處于上游的Linux安全威脅變得更加緊迫，因為Google在開源軟件上的賭注越來越大，Google甚至為Linux基金會貢獻了Kubernetes，后者已成為云原生計算運動的關鍵。

Google員工軟件工程師Dan Lorenc說：“隨著開源在關鍵基礎設施中的重要性不斷提升，開源代碼工具的安全性問題也變得更為緊迫。”

Google一直在擴大對安全的關注，這是使Google Cloud云服務產(chǎn)品對持有超敏感數(shù)據(jù)的公司客戶更具吸引力的舉措的一部分。

“希望這是一個積極的反應。”Lorenc說道：“我們正在努力領先于供應鏈攻擊的興起。”

Linux基金會的開源安全基金會（OpenSSF）與哈佛大學創(chuàng)新科學實驗室（LISH）合作發(fā)布了一份最新的報告，該報告強調了對包括Linux在內的開源生態(tài)的安全性需求。

Lorenc說，隨著Linux在供應鏈和其他大型系統(tǒng)中變得越來越重要，它自然已成為網(wǎng)絡罪犯的更大目標。現(xiàn)在許多公司都在出售安全解決方案，但是支持Linux內核仍被視為加強基本安全性的一種方法。

通過開源安全基金會，大約有20,000名貢獻者按自己的時間來維護和開發(fā)Linux。盡管其中許多人對安全性有些興趣，但實際投入很少，而Google的舉動可能有助于使安全性成為Linux項目的重中之重。

有趣的是，Google資助的兩個維護者Gustavo Silva和Nathan Chancellor是一對夫婦，Google希望一筆穩(wěn)定可觀的薪水可以鼓勵他們全身心投入Linux內核的安全開發(fā)，這對夫婦一直是此領域最活躍的參與者之一。

沒人愿意在安全問題上花時間

開源軟件的“安全債”不僅僅是資金問題，更主要的是觀念和時間問題。

2020年的開源貢獻者調查中，在被問及有哪些外部資源對開源項目安全性產(chǎn)生最大影響時，將近三分之二的受訪者提到了錯誤/安全修復程序，三分之一的受訪者提及免費的安全審核（調查參與者可以選擇多個答案）。大約25％的受訪者表示他們希望在其持續(xù)集成流程中添加與安全性相關的工具。大約18％的人要求提供有關安全軟件開發(fā)的免費課程。

顯然，安全確實是開源軟件貢獻者的首要任務，但是，當被問及是否將時間花在與安全有關的活動上時，只有2.3％的受訪者回答是。此外，調查對象表示他們不希望將來在安全上投入更多時間。

總而言之，雖然開源軟件貢獻者認為安全性很重要，但他們不想成為負責安全性的人。他們寧愿通過第三方審核或開源安全管理工具（例如FOSS）轉移安全性相關工作負載。

報告指出，鑒于這些發(fā)現(xiàn)，在可行的情況下，管理開源軟件項目的組織應為額外的外部安全資源提供資金。安全性流程自動化程度越高，項目受到的保護就應越多。

開源軟件安全教育市場巨大

2020年，大多數(shù)開源軟件貢獻者調查的受訪者通過非正式手段（而不是正式課程、公司培訓課程或認證）了解安全代碼開發(fā)。

最受歡迎的資源是在線論壇（StackOverflow、Reddit等），將近51％的參與者將其視為學習安全最佳做法的有用場所。博客和在線文章緊隨其后，約47％的受訪者選擇它們。（參與者可以選擇多個答案）。30％的受訪者選擇“其他”，其中最受歡迎的選項是工作經(jīng)驗、同事與共同貢獻者之間的知識共享。

對于開發(fā)和/或依賴開源項目的組織和個人來說，可以根據(jù)上述調查結果，選擇貢獻者最常用的渠道和資源提供安全教育和培訓。例如，您可以針對特定的安全問題創(chuàng)建一個StackOverflow話題和共享中心，或者維護一個安全開發(fā)為主題的博客文章列表。

這其中蘊含巨大的安全培訓機會。根據(jù)FOSS的調查結果，貢獻者對通用安全實踐的實施差異很大。例如，幾乎80％的受訪者表示他們的網(wǎng)站支持SSL/TLS，而41％的維護者或核心參與者專注于安全性。但是，只有26％的人制定了安全策略，只有22％的人在其項目中使用了威脅模型。