写点什么

Linux 基金会披露最常用的开源组件及其安全问题

  • 2020-02-19
  • 本文字数:1988 字

    阅读完需:约 7 分钟

Linux基金会披露最常用的开源组件及其安全问题


据 ZDNet 报道,在最新的研究中,Linux基金会确定了最常用的开源组件,并且发现它们的共同问题和安全漏洞。


这份研究报告被称为 Census Program II,由Linux基金会基础架构联盟(CII)和Laboratory for Innovation Science at Harvard(LISH)联合披露。

哪些开源组件使用最多?

使用最广泛的非 JavaScript 软件组件有:


1.Com.fasterxml.jackson.core:jackson-core


2.Com.fasterxml.jackson.core:jackson-databind


3.Com.google.guava:guava


4.Commons-codec


5.Commons-io


6.Httpcomponents-client


7.Httpcomponents-core


8.Logback-core


9.Org.apache.commons:commons-lang3


10.Slf4j


此外,研究报告还披露了最常用的JavaScript programs:


1.Async


2.Inherits


3.Isarray


4.Kind-of


5.Lodash


6.Minimist


7.Natives


8.Qs


9.Readable-stream


10.String_decoder


根据红帽最新的一份研究表明,开源软件在企业已经占据主导地位。情况可能不止如此,另一份更早的研究发现,开源软件占所有软件的 80%-90%。今天,很多软件或程序是建立在开源组件上的。


Census Program II 报告有很大意义。虽然不是最终报告,但它是这类分析中的首次重大研究。它不仅向前迈出重要一步,而且提出一种理解和解决开源软件结构和安全复杂性的方法。


具体来说,它不仅可以识别应用程序中最常用的自由和开源软件(FOSS)组件,而且能检查它们潜在的漏洞。

不要轻视小型程序

为开展这项工作,Linux 基金会基础架构联盟(CII)和 LISH 与 SCA 和应用安全公司合作,比如SnykSynopsys网络安全研究中心。它们将个人使用的数据与公开可用的数据集结合起来,从而识别 200 多个最常用的开源软件项目。


当然,研究对象不是你想到的那些大名鼎鼎的开源项目,比如 Apache、MySQL、Linux。而是一些在基础上很重要,使用最广泛的小型的基础构建块程序。



它们可能很小,有时不超过 100 行代码,但却非常重要。


哈佛商学院教授兼 Census II 项目联合负责人说,“FOSS 长期以来一直被视为爱好者的领域。然而,它不仅成为现代经济的组成部分,并且是我们日常社会生活技术的基本组成部分,比如智能手机、汽车、物联网以及许多其他技术。了解使用最广泛和最脆弱的组件有利于我们确保数字经济和生态系统的持续健康。”


如果你不注意这些隐藏的小型程序,那它们可能带来大麻烦。例如,OpenSSL “心脏滴血”漏洞,其真正问题不在于OpenSSH安全程序,而是其更底层的加密库。


假如你是最终用户,可能从未听说过这些 low-level 程序。正如风险资本家 Mike Volpi写道,“开源的真正客户是开发人员,他们经常发现这些软件、然后下载并将其集成到他们正在从事项目的原型版本中。”


研究发现,使用和成为最受欢迎的 FOSS 软件包的最大贡献者之间存在高相关性。通过对 2017 年 GitHub 数据的分析发现,一些最活跃的 FOSS 开发人员为项目做出很大贡献,而他们留名多为微软、谷歌、IBM 或英特尔的员工电子邮件地址。

开源组件的 3 个常见问题

在这个过程中,研究人员还发现开源组件的几个常见问题。


首先是程序命名随意。缺乏针对软件组件的标准化命名方案,让跟踪这些程序成为一个主要难题。这不是开源软件所独有的问题。美国国家标准与技术研究院(NIST)和美国国家电信和信息管理局(NTIA)数十年来一直努力解决这一问题。


Linux 基金会和合作伙伴认为,“迫切需要一套标准化的软件组件命名纲要。除非有了标准化的命名方案,否则软件安全性、透明度等方面的策略发挥的作用会受限”。



另一个问题在开源圈太常见了,就是许多项目仍然存在于单独的开发人员账户下。CII 团队发现,在分析的 10 个最常用的软件包中,有 7 个托管在个人开发人员账户下。如果账户被黑客入侵,软件包被恶意利用,那后果非常严重。


例如,如果开发者删除了一个名叫left-pad的 Node.js 程序,这将导致成千上万个 npm JavaScript 程序无效。


在另一个例子中,黑客获得流行的 Event-Stream JavaScript 库的访问权限,并在代码中添加后门。然后,他将恶意代码加到库中,从而能盗取比特币。


显然,个人开发者账户应该获得更多的保护。Linux 基金会 CII badging programTrust and Security Initiative 将开发人员账户安全纳入其控件中,以降低风险。


最终的问题在于,开源没有摆脱传统软件的“诅咒”。开发人员已经使用老程序的最新版本,但下游开发者依然使用老旧程序。当新的替换软件包可完成相同工作时,这些开发人员往往不愿迁移。尤其是新组件出现兼容性错误时,更是如此。


另外,如果不能保证有额外收益,那么切换到新软件会有财务和时间成本。但是,老旧程序尚未更新且被被广泛使用,因此可能发现安全漏洞,安全性让人担忧。


简而言之,开源开发人员必须开始解决遗留软件的问题。虽然维护代码并不像开发新代码那样充满乐趣,但这是必须要做的工作。


参考资料:


https://www.zdnet.com/article/the-linux-foundation-identifies-the-most-important-open-source-software-components-and-their-problems/


2020-02-19 15:022852
用户头像
万佳 前InfoQ编辑

发布了 677 篇内容, 共 353.9 次阅读, 收获喜欢 1799 次。

关注

评论

发布
暂无评论
发现更多内容

使用IDEA的Docker插件部署SpringBoot项目,让我成功在寒冬中站稳脚步

Java 程序员 后端

入职字节跳动那一天,我哭了(蘑菇街被裁,java中异常处理机制的原理和应用

Java 程序员 后端

全网首发“Java面试考点大全”,深入linux内核架构pdf百度云

Java 程序员 后端

全网首发!今年的第一份Spring Boot实战派,让开发像搭积木一样简单

Java 程序员 后端

分享我的2021京东4面面经,送给备战金三银四的你,Java小程序开发实例

Java 程序员 后端

分布式系统的一致性级别划分及Zookeeper一致性级别分析

Java 程序员 后端

创建和销毁对象-考虑用静态工厂方法代替构造器,熬夜整理出Java后端学习路线

Java 程序员 后端

带你了解Node.js包管理工具:包与NPM

华为云开发者联盟

node.js 工具 npm 文件

六月份参加字节移动中台一二三面,一腔热血,终上岸,java面试设计模式的使用

Java 程序员 后端

分享23种追女生的方式,教你同时把追MM和设计模式融汇贯通(下

Java 程序员 后端

做个小项目那不是简简单单!Java实现航空航班管理系统。

Java 程序员 后端

全网最全Spring面试题之基础篇整理总结(共69题,附超详细解答

Java 程序员 后端

全网都在跪求的阿里Java修炼开发技术笔记,终于开放下载了(1)

Java 程序员 后端

全靠这份阿里大厂Java面试真题手册,让我成功拿下12家大厂offer

Java 程序员 后端

出招吧!腾讯专家手敲《Redis源码日志笔记,如何成为一个更好的Java开发者

Java 程序员 后端

分布式、微服务必须配个日志管理系统才优秀,Exceptionless走起

Java 程序员 后端

初来乍到,IT职场人,有些黑话要先了解(1),springboot定时任务注解原理

Java 程序员 后端

写了一年golang,来聊聊进程、线程与协程,javamap底层原理

Java 程序员 后端

分布式系统改造方案——数据篇,Java架构师视频

Java 程序员 后端

刚从蚂蚁金服面试回来,分享我拿到社招Java研发岗offer的过程

Java 程序员 后端

使用Redis和Java进行数据库缓存 - DZone数据库,工作感悟

Java 程序员 后端

全网都在跪求的阿里Java修炼开发技术笔记,终于开放下载了

Java 程序员 后端

公司CTO:高性能开发,你不会Netty,java支付模块架构

Java 程序员 后端

写博客是一种乐趣,一种需要培养的乐趣,【性能优化实战】

Java 程序员 后端

使用OPCAutomation实现对opc数据的访问,腾讯数据分析面试春招2021

Java 程序员 后端

分享成功逆袭到美团面试心得:面试题(含答案,springboot面试题

Java 程序员 后端

第15份敏捷年度状态报告

Bruce Talk

敏捷 Agile

保姆级教程!手把手带你用数据库中间件Mycat+SpringBoot完成分库分表

Java 程序员 后端

先到先得!价值百万的的ELk+Lucene笔记,阿里P7架构师带你看透maven的来龙去脉

Java 程序员 后端

全靠阿里内部(珠峰版)Java面试笔记,mysql数据库教程郑阿奇答案

Java 程序员 后端

创业神器-JAVA开源网盘系统推荐,springaop实现原理面试题

Java 程序员 后端

Linux基金会披露最常用的开源组件及其安全问题_安全_万佳_InfoQ精选文章