Redian新闻
>
从GitHub封停开发者账号聊开源软件供应链安全性

从GitHub封停开发者账号聊开源软件供应链安全性

科技

嘉宾 |Michael Yuan

作者 |钰莹
如今,不使用开源代码来构建软件几乎是不可能的。但所有这些自由软件都可能有额外的安全风险。企业正在努力解决如何最好地保护他们的开源软件供应链。但还有一个问题:许多公司甚至不知道他们有多少开放源码应用程序或者其中有什么。

之前发生的 Log4j 安全漏洞,开源代码维护者俄乌战争期间因反俄给 node-ipc 库中添加恶意代码等事件造成了极其不好的影响,再比如 GitHub 前段时间封停了俄罗斯开发者的一些账号,理由是这些账号的使用者受雇于被美国制裁的一些公司。这种无征兆的 GitHub 账号访问限制影响到了一些开源项目的正常运行。提高开源软件供应链的安全性迫在眉睫。

本期《极客有约》,我们邀请到了行业内做了 20 多年的开源老兵、WasmEdge 的创始人和核心开发者 Michael Yuan,同时他作为 JBoss 的早期员工,在 JBoss 被 Red Hat 收购之后,作为产品经理见证了世界上第一个成功的开源商业模式。(访谈视频完整版地址:https://www.infoq.cn/video/6HzOizuMky2jRe3LJsKX
 InfoQ:开源软件供应链到底是一条怎样的链?这条链上具体都有谁?涉及谁,每个环节大概在做什么样的事情?

Michael Yuan:做软件工程的人都希望尽量模块化,所有工具从头开发是很难的,开发者都希望尽量多通过复用来解决这个问题,开源软件就为此提供了一个很好的基础,比如 Java 的 maven,JavaScript 的 npm,这也符合开源“人人为我,我为人人”的精神。

所谓开源软件供应链大多是通过程序里面错综复杂的依赖形成的,以 npm store 为例,其能拉出一百多个安装包,这些安装包可能从来没见过也没听过,大多数人也不会仔细检查自己的依赖,这也是 Node.JS 或者说 Docker 能做出这么大生态的原因,这些安装包在大部分情况下是可以充分信任的。在这条链中,主要成员是开发者,开发者写了各种各样的模块并将其开源,但也有很多公司出于对软件版本的控制等原因会构建自己的私有仓库,这也就是既有 GitHub 又有 GitLab 的原因,开源软件供应链更像是树状结构,会有很多分叉,如果需要依赖某个包可能会搜出来很多版本,有一些是官方的,也有一些是非官方的。

 InfoQ:可以举例说明整个节点上面可能面临的风险大概都是什么?

Michael Yuan:出现频率最高但又不是恶意造成的风险就是“懒”,这里可以分两种情况说明:一种是基础依赖,比如 Log4j,任何一个程序可能都会产生日志,都会用到 Log4j,但这都不是最核心的功能,因此很容易被忽视,一旦出现问题就会造成巨大影响;第二种是依赖过多导致无法立即更改或者需要的更改时间较长,Github 在这方面提供了很好的工具,其 Dependabot 可以实时检测 repo,并 keep 所有的 dependency 都能被 updated,一旦发现问题就会给你发 Email,只需要简单点击就可以进行更新,但大部分情况不是这么简单就可以解决问题的,从一个版本更新到另一个版本经常会出现一些其他问题。

当然这里面也存在一些真正有恶意的攻击,毕竟这类攻击仅需要很少的时间就可以得到巨大的收益,只需要攻击最底层的依赖就可以影响很多程序,而且这类树状结构造成其攻击入口到处都是,这类例子在企业软件攻击中比比皆是。另一种情况是通过获取项目创建者的信任成为 Commiter,然后错误修改一些依赖导致依赖其的程序出错,这也是利用了开源社区里面很多开发者经常不见面,通过邮件和 GitHub 进行协作,很难追溯到本人。

此外,很多开源项目的开发者多半没有固定的职位,并不是在哪家公司专门负责该项目的维护,因为这些软件在社区里面大多免费,企业很少雇佣专门的人员进行维护,出现问题之后也没有什么立场要求维护者必须立刻进行修复。开源发展至今虽然有了很多商业模式,但问题还是存在的,比如如何长期积累开发者并让其有动力做这件事情。

 InfoQ:开源协议、开源社区、开源基金会在整个这个供应链里边扮演的是什么样的角色?

Michael Yuan:在 Node.js 生态里面有一个名为 Dash 的包,这里面其实没有任何内容,是一个空的 Package,但是每周会有 20 万次以上的下载,这是因为在 npm 的编程过程中很容易多打一个横杠,这个命令行的作用就是避免此时程序出错,类似这种东西其实应该是由基金会从根本上进行管理,这是比较好的解决方案。

对于开源社区,GitHub 虽然提供了很多工具帮助检测是否存在安全隐患,但社区里面还存在大量多年之前出现,至今都没人用过的项目,这些项目很多都是不安全的,也需要告知用户。

这里再分享下 Kubernetes 1.24 版本使用的 Sigstore, Sigstore 是一项面向软件开发人员的免费签名服务,通过实现由透明日志技术支持的加密软件签名的轻松采用,提高软件供应链的安全性。现在的这些软件,要么信任人,要么信任代码,比如谷歌签名的软件,我都信任。sigstore 也是 Linux 基金会的一个项目,这也体现了基金会对软件供应链安全的重视,将软件安全供应链变成了一个签名链,让软件可以溯源,这还是有很多用处的,而且 Linux 基金会也是大家比较信任的机构,有这样的机构背书,大家才觉得可行。

 InfoQ:如何才可以降低开源安全治理的成本?

Michael Yuan:其实今天做的很多事情都是为了降低安全治理的成本,比如刚才提到的签名,信任软件的成本是非常高的,但人还是可以信任的。此外,如果我们离开现有的软件开发系统去搞新一代的开发工具是可以降低成本的,比如 WebAssembly 。以运行时为例,WebAssembly 的运行时启动之后是没有任何权限的,即便是被入侵也无法开启各种功能,如果确实需要一些功能,起运行时的时候得明确说明需要什么功能,而不是一下子全部都起来,这最大程度降低了安全风险,即便受到攻击也是在有限范围内,其实这是 Docker 特别需要的,这几年市面上也有很多试图把 Docker 做小做安全的容器,但都没有火起来,开发者很难接受一个新的运行时。

 InfoQ:现在有很多基于开源软件创立的商业公司,我们如何看待这类项目的安全性?

Michael Yuan:基于上述的一些逻辑,可以得到一个推论:有商业公司支持的开源软件相对比较安全,因为商业公司一般以赚钱为目的,对自己的形象还是比较重视的,对于社区提到的问题也会第一时间解决,从软件安全的角度来说,商业公司反而更好。当然,这里面也存在问题,一旦商业公司倒闭,这个软件的后期维护怎么处理,这在美国是发生过的,但现在中国正处于这类商业公司融资的高潮,还没有迎来大量灭亡的时候,这也是为什么现如今的基础软件都在做开源,如果是闭源的,一旦公司出现问题,后果非常严重。

 InfoQ:开源商业化的路径?

Michael Yuan:开源软件这么多年主要有几个商业模式。2000 年初,我们做 JBoss 的时候,红帽软件还没有找到商业模式,主要还是卖 Linux 的安装光盘,虽然这家公司 1997 年就上市了,红帽软件当时还是比较成功的,上市第一天就涨了 7 倍,但是一直没商业模式。我们当时的情况和红帽差不多,我们一直做开源软件,给客户做咨询、做部署。有一天,有人给我们办公室打电话,说要付钱购买我们的软件,我们当时都觉得特别惊讶,因为那时候没有人敢买软件,后来发现是华尔街银行。这也是创业特别坑的地方,创业里面很多想法可能都是错的,但随着时间推移就会发现原来挣钱的机会在这,那时候华尔街打电话让我们保证一旦出现问题,24 小时之内上门维护,事实上当年我们卖给了很多银行,从来没发生过问题,毕竟人家有几百上千人可以维护这个产品,不需要你帮忙,这种商业模式在当时叫做保险公司的商业模式。

今天,开源的商业模式有很多,但归根结底需要让开发者尽早把这些东西带到生产环境,提供云服务或者其他,现今的很多公司都是通过云的方式变现,而且一定要让开发者使用,才有开启下一步的机会,要是开发者不用,根本不可能有任何人付费,而开发者用了你之后,也得给出一个付费的理由,比如可以大量节省时间等。在美国,也有一些案例是部分特性需要付费,但前提是需要有足够大的开发者社区。

 讲师介绍:

Michael Yuan 博士是 WasmEdge 的创始人和核心开发者,在开发和商业化开源软件方面拥有丰富的经验,Michael 是 JBoss 的早期员工,被 Red Hat 收购之后,作为产品经理见证了世界上第一个成功的开源商业模式。Michael 著有 5 本国际知名出版社出版的技术书籍。2019 年 Michael 发起了 WasmEdge 项目,提供下一代云原生和边缘计算的执行环境。

Michael 同时也是 Second State 的联合创始人。Second State 是一家开源基础软件初创公司,致力于商业化可持续地支持 WebAssembly 和 Rust 生态系统中的企业应用。

今日荐文

点击下方图片即可阅读

做了5年机器学习研究,我发现了这7个真相


你也「在看」吗?👇

微信扫码关注该文公众号作者

戳这里提交新闻线索和高质量文章给我们。
相关阅读
直女发言:直男可以从Gay身上学到什么?英文歌译奥斯卡最佳影片 CODA主题曲: 两面 - Both Sides Now硬核观察 #636 保护开源软件需要多少钱?OpenSSF 称 1.5 亿美元超62万人灭活疫苗安全性数据被披露,到底安不安全?Github 有份程序员们做的菜谱,终于没有了该死的“适量”端到端,供应链如何优化?Alibaba/IOC-golang 正式开源 ——打造服务于go开发者的IOC框架“区域化、强韧性”——全球供应链再布局 (上):建设国内区域化供应链梦幻联动!Amazon Prime 会员可免费享受 Grubhub+会员一年上海启示:2022年,企业对供应链的安全,需做好研判和提前布局硬核观察 #627 GitHub 推动用户启用双因素认证开源电子邮件客户端 Thunderbird 即将登陆 Android | Linux 中国智能汽车供应链「洗牌」,中国本土供应商「反击」市场争夺战追涨行为因子:基于上交所投资者账户数据的散户交易行为量化策略从 10 万 npm 用户信息被窃看开源软件供应链安全简单实用!从项目架构角度解析Git和GitHub的高效使用方法!再说中国人的崇洋费城亚裔司机被枪杀后警方将重点整治“怒路症”! 9月大型音乐节“美国制造”安全性受质疑!East Passyunk车展再度回归龙卷风健康快递 161硬核观察 #662 GitHub 正式宣布终止 Atom 项目Aficamten治疗梗阻性肥厚型心肌病,疗效和安全性获进一步证实|ESC-HF 2022热点速递Wallethub:美国受教育程度最高的地区是哪里?它碾压加州再次卫冕!人间四月天,看电影《爱情限时恋未尽》GitHub Copilot 现已可供所有人使用,但并非所有人都喜欢它 | Linux 中国新冠疫苗导致白血病尚无证据,但疫苗安全性我们知道得也太少了!DeepMind 的开源物理引擎 MuJoCo 已在 GitHub 发布 | Linux 中国开源开发者创建首个支持维护者的基金 | Linux 中国谷歌开始分发一系列开源软件库 | Linux 中国微软将对应用商店中开源软件的收费进行限制 | Linux 中国【庭院种菜】迷你西红柿,你迷我迷万人迷!“地球”应该写成the earth还是the Earth?能源禁运背后:切断供应链的经济影响有多大?写了开源软件没申专利,反被索赔该怎么办?企业为何使用开源软件,又为何推动开源软件的发展 | Linux 中国戴尔 XPS 13 Plus 开发者版获得 Ubuntu 22.04 LTS 认证 | Linux 中国
logo
联系我们隐私协议©2024 redian.news
Redian新闻
Redian.news刊载任何文章,不代表同意其说法或描述,仅为提供更多信息,也不构成任何建议。文章信息的合法性及真实性由其作者负责,与Redian.news及其运营公司无关。欢迎投稿,如发现稿件侵权,或作者不愿在本网发表文章,请版权拥有者通知本网处理。