全球開源安全的嚴(yán)峻形勢符合大多數(shù)安全專家的預(yù)期，也在引起開源從業(yè)者的警覺。

作者 | 楊軒 Linux 基金會亞太區(qū)總監(jiān)

2022 年轉(zhuǎn)眼間過去，全球疫情的反復(fù)超出了很多人的預(yù)料，但是開源安全的嚴(yán)峻形勢卻符合大多數(shù)安全專家的預(yù)期。最典型的例子莫過于 Log4j，自該漏洞出現(xiàn)已經(jīng)過去一年多，仍有許多組織由于沒有正確修補他們的 Log4j 漏洞，而引發(fā)安全事件，在世界各地層出不窮。

美國網(wǎng)絡(luò)安全審查委員會曾發(fā)布首份報告《回顧 2021 年 12 月的 Log4j 事件》，系統(tǒng)梳理了 Apache Log4j 漏洞的實際影響和未來的威脅。同時指出，Log4j 漏洞風(fēng)靡全球，而且會長期存在，并將持續(xù)在未來引發(fā)風(fēng)險。

我想值此年初，跟大家盤點一下 2022 年發(fā)生的、對全球開源安全有重大影響的一些事件，以及該領(lǐng)域正在發(fā)生的一些重要走向。

開源安全 9 大現(xiàn)狀

1、歐洲政治危機引發(fā)大量新型惡意攻擊軟件

可以說，無論是和平時期還是戰(zhàn)爭時期，出于商業(yè)目的對基礎(chǔ)設(shè)施進行網(wǎng)絡(luò)攻擊都是常態(tài)。研究顯示，許多攻擊軟件的開發(fā)者和使用者背后都有國際組織和國家的身影。自俄烏沖突爆發(fā)以來，三家總部位于德國的風(fēng)能公司成為了網(wǎng)絡(luò)攻擊的目標(biāo)。

此外，“零日漏洞”的數(shù)量在 2022 年創(chuàng)下紀(jì)錄，預(yù)計在 2023 年被繼續(xù)刷新。零日漏洞是指在發(fā)現(xiàn)時未修復(fù)或此前未知，因此在修復(fù)補丁釋出前會有一個時間空檔，黑客可乘著空檔利用漏洞發(fā)動攻擊。雖然這種技術(shù)對黑客來說尤為珍貴，但對網(wǎng)絡(luò)安全專業(yè)人士來說就是一場噩夢。安全公司 Mandiant 分析了 2021 年零日漏洞漏洞利用，據(jù)其統(tǒng)計，2021 年共發(fā)生了 80 起零日漏洞利用案例，而谷歌的 Project Zero 團隊發(fā)現(xiàn)了 58 個。總體而言，當(dāng)前攻擊者比以往任何時候都更敏捷、更會把握時機且更有攻擊性。

2、企業(yè)及開發(fā)者的開源安全意識有待提高

Log4Shell 常年位居被利用最多的漏洞名單，盡管它在2022 年底才被發(fā)現(xiàn)。時至今日，數(shù)以百萬計的 Java 應(yīng)用程序仍然容易受到 Log4Shell 的攻擊。大部分專家對這個結(jié)果并不驚訝，因為即使在 Heartbleed 漏洞出現(xiàn)十年后的今天，一些系統(tǒng)仍然受到該漏洞的影響。

意大利特倫托大學(xué)的安全研究人員發(fā)現(xiàn)，“零日”攻擊也許能讓黑客得到一定的媒體曝光度，但最復(fù)雜的惡意黑客更有可能使用已知的舊漏洞做文章。為了更好地評估企業(yè)如何才能最好地防御高級持續(xù)性威脅（APTs），他們建立了一個 APT 攻擊的數(shù)據(jù)集，涵蓋了 2008 年至 2020 年間 350 個活動中的 86 個已知APT。研究人員發(fā)現(xiàn)，“大多數(shù) APT 活動采用的是公開的、已知的漏洞”。APTs “經(jīng)常重復(fù)使用工具、惡意軟件和漏洞，與一般人的想法相悖”，由此可見，迅速而及時地打補丁是開發(fā)者必須具備的安全習(xí)慣。

3、惡意軟件服務(wù)正在成為商品，攻擊者開始瞄準(zhǔn) Dockers

購買一些模塊化的惡意軟件及服務(wù)，正在變成一件容易的事，目前已經(jīng)發(fā)現(xiàn)有人將一些普遍使用的系統(tǒng)和服務(wù)的惡意軟件，打包在社交媒體 Telegram 上發(fā)售。全球網(wǎng)站使用量占 30% 到 50% 的WordPress，已經(jīng)成為了黑客惡意攻擊的目標(biāo)之一。

據(jù)不完全統(tǒng)計，2022 年上半年大約有 6000 個 WP 網(wǎng)站遭受惡意的JavaScript 注入，基本上都是欺騙大家簽署付費訂閱的應(yīng)用程序。目前大部分的供應(yīng)鏈攻擊都集中在 NPM、Maven（Java包庫）和其他包管理器，但是有證據(jù)顯示攻擊者開始瞄準(zhǔn) Dockers 了。

4、軟件供應(yīng)鏈安全的成本越來越高

過去一年，IBM 發(fā)布了年度 "數(shù)據(jù)泄露成本報告"，顯示數(shù)據(jù)泄露的平均成本已經(jīng)創(chuàng)下歷史新高，達到 435 萬美元。另一項研究顯示，商業(yè)電子郵件破壞是最有利可圖的網(wǎng)絡(luò)犯罪形式之一。被黑或被偽造的內(nèi)部商業(yè)賬戶付款要求所騙的企業(yè)，其年損失預(yù)估為75億美元。據(jù)美國聯(lián)邦調(diào)查局稱，蜂巢（Hive）勒索軟件犯罪分子已經(jīng)襲擊了全球 1300 多家公司，在過去 18 個月里勒索了大約 1 億美元。

同時，對于沒有保護好客戶隱私的企業(yè)，監(jiān)管機構(gòu)的處罰力度也是空前大。以美國 T-Mobile 公司為例，因 2021 年的大規(guī)模黑客攻擊事件，該公司暴露了 7600 多萬人的個人數(shù)據(jù)，為此損失了 5 億美元（3.5 億美元的罰款，1.5 億美元的額外網(wǎng)絡(luò)安全支出）。

5、開源安全引發(fā)全球政府的關(guān)注

這一年，Linux 基金會、OpenSSF 開源安全基金會以及全球各地的開源社區(qū)都在與當(dāng)?shù)卣o密溝通，推動開源供應(yīng)鏈安全的落地。在中國，Linux 基金會亞太區(qū)正與 COPU（中國開源軟件推進聯(lián)盟）、CAICT（中國信息通信研究院）、CESI（中國電子技術(shù)標(biāo)準(zhǔn)化研究院）、中科院軟件所等機構(gòu)和頭部科技企業(yè)以及中國開源組織聯(lián)手推進以開源安全為主題的技術(shù)活動。

其他國家在開源安全方面的動作同樣令人欣喜。考慮到整個軟件安全應(yīng)當(dāng)建立在盡可能多的人參與評估的基礎(chǔ)上，美國政府宣布不再起訴那些開發(fā)了漏洞但在發(fā)布之前通告社區(qū)的 "善意 "黑客。

6、全球開源安全形勢喜憂參半

對于安全的基礎(chǔ)設(shè)施建設(shè)問題，去年 6 月，OpenSSF 開源安全基金會向 Eclipse 基金會提供了大量的財政捐助，來作為供應(yīng)鏈安全工作和 Alpha-Omega 項目（注：關(guān)鍵開源安全項目特別保障計劃）的一部分資金基礎(chǔ)。可以幫助 Eclipse 聘請更多供應(yīng)鏈安全人才為其項目提供供應(yīng)鏈安全保障。這一動作堪稱全球開源社區(qū)攜手應(yīng)對開源安全的里程碑。

互聯(lián)網(wǎng)安全中心軟件供應(yīng)鏈安全指南也已創(chuàng)建，在技術(shù)工具方面，云安全創(chuàng)業(yè)公司 Aqua Security 發(fā)布了開源的審計工具 Chain-Bench，以幫助你的軟件符合該指南的新基準(zhǔn)。

但谷歌的威脅分析小組也分享了一個讓人不安的趨勢：攻擊者與惡意的 ISP 合謀在 Android 和 iOS 設(shè)備上部署 Hermit 間諜軟件。

7、人為錯誤仍然是軟件安全最大的風(fēng)險因素

曾有個馬來西亞系統(tǒng)制造商將一個沒有密碼保護的 Elastic search 服務(wù)器開放給公共互聯(lián)網(wǎng)，從而暴露了 15000 家企業(yè)的敏感數(shù)據(jù)，造成嚴(yán)重后果。因此現(xiàn)在很多開源項目已經(jīng)在強制執(zhí)行安全策略，關(guān)鍵的 Ruby 軟件包管理器 RubyGEMS 從 2022 年 8 月開始強制執(zhí)行安全策略，NodeJS 的大型軟件包管理庫 npm 也采取了類似的措施。

8、軟件安全正在向超出企業(yè)可以應(yīng)對方向發(fā)展

英國倫敦勞埃德保險公司（Lloyds of London）表示，與國家有關(guān)聯(lián)的行為者，其網(wǎng)絡(luò)攻擊將不予賠付，對軟件企業(yè)來說這可能是個大問題，因為越來越多網(wǎng)絡(luò)犯罪活動與國家有關(guān)。美國陸軍剛剛宣布將增加網(wǎng)絡(luò)戰(zhàn)進攻小組，并試行進攻性網(wǎng)絡(luò)戰(zhàn)課程。軟件界需要采取更多措施自保，因為保險可能無法保護我們了。

9、市場對 SBOM 的興趣急劇增加

2022 是 SBOM之年，市場對 SBOM（軟件物料清單）的興趣正在急劇增加。Sonatype 發(fā)布了《軟件供應(yīng)鏈狀況報告》，包含大量重要見解和數(shù)據(jù)。目前，各國政府也接連出臺了相關(guān)政策和法規(guī)，軟件巨頭紛紛響應(yīng)：微軟開放了 Salus SBOM 生成工具包；谷歌推出了 GUAC（Graph for Understanding Artifact Composition）免費工具，可以將許多不同來源的軟件安全元數(shù)據(jù)匯集在一起，包括 SBOM。

如何實現(xiàn)開源安全長治久安？

加強對開源信譽的重視

開源是建基于信任之上的創(chuàng)新，失去信譽必遭遺棄。在互聯(lián)網(wǎng)上，根證書頒發(fā)機構(gòu)應(yīng)該是一個安全、正直、中立的信譽證書頒發(fā)機構(gòu)。對互聯(lián)網(wǎng)這樣的社區(qū)公共資源來說，完全和徹底的中立性是至關(guān)重要的。

TrustCor 系統(tǒng)是一家根證書機構(gòu)（root certificate authority），在互聯(lián)網(wǎng)基礎(chǔ)設(shè)施中處于關(guān)鍵位置。但在《華盛頓郵報》11 月 30 日的一篇報道中揭露，TrustCor 與一個疑似生產(chǎn)惡意軟件的美國軍事承包商有聯(lián)系。隨后，微軟 Edge 和 Mozilla Firefox 停止將其識別為值得信賴的證書機構(gòu)。

更多的軟件供應(yīng)鏈安全最佳實踐和指南

2022 年 8 月，美國國家安全局（NSA）、ODI 和美國國防部的其他機構(gòu)鑒于網(wǎng)絡(luò)攻擊日益嚴(yán)重，發(fā)布了一份關(guān)于軟件供應(yīng)鏈安全要求和標(biāo)準(zhǔn)的更詳細的指南 （Securing the Software Supply Chain: Recommended Practices for Developers ），未來，這個框架將持續(xù)指導(dǎo)企業(yè)和軟件行業(yè)。OpenSSF 開源安全基金會成立之初也建立了最佳實踐工作組，已經(jīng)發(fā)布了一系列的最佳實踐。

立法保護

歐盟委員會公布網(wǎng)絡(luò)韌性法案（Cyber Resilience Act），該法案將要求聯(lián)網(wǎng)設(shè)備的制造商在發(fā)貨前確保設(shè)備的安全性、保證提供五年的系統(tǒng)補丁、24 小時的安全事件報告，并及時披露和修復(fù)缺陷，保證修復(fù)后的設(shè)備在五年內(nèi)正常使用。對此，中國制造業(yè)需要特別留意，不遵守規(guī)定可能罰款 1500 萬美元（1500 萬歐元），或上一財政年度全球總營業(yè)額的 2.5%。

加強開源安全教育

這也是 OpenSSF 開源安全基金會發(fā)布的保護開源軟件計劃中的關(guān)鍵部分，教導(dǎo)開發(fā)者如何編寫更安全的代碼，對減少軟件漏洞至關(guān)重要。

要發(fā)展教育，增加網(wǎng)絡(luò)安全專家的數(shù)量很有必要。全球都面臨著安全專家短缺的難題，美國政府曾宣布第一個網(wǎng)絡(luò)安全學(xué)徒?jīng)_刺計劃，很值得全球推廣。該計劃雇用了數(shù)千名學(xué)徒，可惜像這樣的好消息沒有得到多少媒體的關(guān)注。我們可以通過教育擁有一個更安全的未來。

完善代碼托管平臺的安全功能

過去一年，GitHub 發(fā)布了一個新的 Action，可以自動向 Dependabot API 提交 SPDX SBOM，這讓人們在依賴性管理中利用 SBOM 變得更加容易。另外，GitHub 公共代碼庫的所有者和管理者可以啟用私人漏洞報告，讓安全研究人員在資源庫中安全地報告漏洞。

安全研究人員經(jīng)常感覺有責(zé)任提醒用戶注意可能被利用的漏洞，而直接給維護者發(fā)信息，可能會制造公共問題，導(dǎo)致漏洞細節(jié)的公開披露。但私人漏洞報告就能讓安全研究人員很容易使用一個簡單的表格直接向你發(fā)報告漏洞，該服務(wù)目前是 Beta 狀態(tài)。

做好軟件供應(yīng)鏈安全關(guān)鍵基礎(chǔ)設(shè)施建設(shè)

Sigstore 是最關(guān)鍵的基礎(chǔ)設(shè)施之一。Sigstore 一經(jīng)出現(xiàn)，就成為了歷史上采用最快的開源技術(shù)之一，迄今為止，已經(jīng)有超過 400 萬個軟件簽名使用Sigstore 進行記錄，世界上最大的兩個開源社區(qū)：Kubernetes 和 Python 已經(jīng)用 Sigstore 簽署他們的生產(chǎn)版本。

去年 10 月，Sigstore 社區(qū)宣布其免費軟件簽署服務(wù) GA，可用于代碼簽署和驗證，使開源社區(qū)獲得生產(chǎn)級的穩(wěn)定服務(wù)。這也是軟件供應(yīng)鏈安全的一個里程碑。

這一年，盡管 OpenSSF 開源安全基金會的 8 個工作組在開源安全方面做了大量工作，也取得了很多成就，其成員單位也突破 100 家企業(yè)，但開源安全的建設(shè)仍然任重道遠。開源安全是一場馬拉松，在未來的日子里，希望全球協(xié)作，守好開源安全這道防線。