写点什么

Linux 基金会披露最常用的开源组件及其安全问题

  • 2020-02-19
  • 本文字数:1988 字

    阅读完需:约 7 分钟

Linux基金会披露最常用的开源组件及其安全问题


据 ZDNet 报道,在最新的研究中,Linux基金会确定了最常用的开源组件,并且发现它们的共同问题和安全漏洞。


这份研究报告被称为 Census Program II,由Linux基金会基础架构联盟(CII)和Laboratory for Innovation Science at Harvard(LISH)联合披露。

哪些开源组件使用最多?

使用最广泛的非 JavaScript 软件组件有:


1.Com.fasterxml.jackson.core:jackson-core


2.Com.fasterxml.jackson.core:jackson-databind


3.Com.google.guava:guava


4.Commons-codec


5.Commons-io


6.Httpcomponents-client


7.Httpcomponents-core


8.Logback-core


9.Org.apache.commons:commons-lang3


10.Slf4j


此外,研究报告还披露了最常用的JavaScript programs:


1.Async


2.Inherits


3.Isarray


4.Kind-of


5.Lodash


6.Minimist


7.Natives


8.Qs


9.Readable-stream


10.String_decoder


根据红帽最新的一份研究表明,开源软件在企业已经占据主导地位。情况可能不止如此,另一份更早的研究发现,开源软件占所有软件的 80%-90%。今天,很多软件或程序是建立在开源组件上的。


Census Program II 报告有很大意义。虽然不是最终报告,但它是这类分析中的首次重大研究。它不仅向前迈出重要一步,而且提出一种理解和解决开源软件结构和安全复杂性的方法。


具体来说,它不仅可以识别应用程序中最常用的自由和开源软件(FOSS)组件,而且能检查它们潜在的漏洞。

不要轻视小型程序

为开展这项工作,Linux 基金会基础架构联盟(CII)和 LISH 与 SCA 和应用安全公司合作,比如SnykSynopsys网络安全研究中心。它们将个人使用的数据与公开可用的数据集结合起来,从而识别 200 多个最常用的开源软件项目。


当然,研究对象不是你想到的那些大名鼎鼎的开源项目,比如 Apache、MySQL、Linux。而是一些在基础上很重要,使用最广泛的小型的基础构建块程序。



它们可能很小,有时不超过 100 行代码,但却非常重要。


哈佛商学院教授兼 Census II 项目联合负责人说,“FOSS 长期以来一直被视为爱好者的领域。然而,它不仅成为现代经济的组成部分,并且是我们日常社会生活技术的基本组成部分,比如智能手机、汽车、物联网以及许多其他技术。了解使用最广泛和最脆弱的组件有利于我们确保数字经济和生态系统的持续健康。”


如果你不注意这些隐藏的小型程序,那它们可能带来大麻烦。例如,OpenSSL “心脏滴血”漏洞,其真正问题不在于OpenSSH安全程序,而是其更底层的加密库。


假如你是最终用户,可能从未听说过这些 low-level 程序。正如风险资本家 Mike Volpi写道,“开源的真正客户是开发人员,他们经常发现这些软件、然后下载并将其集成到他们正在从事项目的原型版本中。”


研究发现,使用和成为最受欢迎的 FOSS 软件包的最大贡献者之间存在高相关性。通过对 2017 年 GitHub 数据的分析发现,一些最活跃的 FOSS 开发人员为项目做出很大贡献,而他们留名多为微软、谷歌、IBM 或英特尔的员工电子邮件地址。

开源组件的 3 个常见问题

在这个过程中,研究人员还发现开源组件的几个常见问题。


首先是程序命名随意。缺乏针对软件组件的标准化命名方案,让跟踪这些程序成为一个主要难题。这不是开源软件所独有的问题。美国国家标准与技术研究院(NIST)和美国国家电信和信息管理局(NTIA)数十年来一直努力解决这一问题。


Linux 基金会和合作伙伴认为,“迫切需要一套标准化的软件组件命名纲要。除非有了标准化的命名方案,否则软件安全性、透明度等方面的策略发挥的作用会受限”。



另一个问题在开源圈太常见了,就是许多项目仍然存在于单独的开发人员账户下。CII 团队发现,在分析的 10 个最常用的软件包中,有 7 个托管在个人开发人员账户下。如果账户被黑客入侵,软件包被恶意利用,那后果非常严重。


例如,如果开发者删除了一个名叫left-pad的 Node.js 程序,这将导致成千上万个 npm JavaScript 程序无效。


在另一个例子中,黑客获得流行的 Event-Stream JavaScript 库的访问权限,并在代码中添加后门。然后,他将恶意代码加到库中,从而能盗取比特币。


显然,个人开发者账户应该获得更多的保护。Linux 基金会 CII badging programTrust and Security Initiative 将开发人员账户安全纳入其控件中,以降低风险。


最终的问题在于,开源没有摆脱传统软件的“诅咒”。开发人员已经使用老程序的最新版本,但下游开发者依然使用老旧程序。当新的替换软件包可完成相同工作时,这些开发人员往往不愿迁移。尤其是新组件出现兼容性错误时,更是如此。


另外,如果不能保证有额外收益,那么切换到新软件会有财务和时间成本。但是,老旧程序尚未更新且被被广泛使用,因此可能发现安全漏洞,安全性让人担忧。


简而言之,开源开发人员必须开始解决遗留软件的问题。虽然维护代码并不像开发新代码那样充满乐趣,但这是必须要做的工作。


参考资料:


https://www.zdnet.com/article/the-linux-foundation-identifies-the-most-important-open-source-software-components-and-their-problems/


2020-02-19 15:023102
用户头像
万佳 前InfoQ编辑

发布了 677 篇内容, 共 375.6 次阅读, 收获喜欢 1805 次。

关注

评论

发布
暂无评论
发现更多内容

Milvus x DeepSeek 搭建低成本高精度 RAG 实战

阿里云大数据AI技术

Milvus rag PAI DeepSeek

当火语言遇上抖音:开启短视频领域的变革新篇章

火语言RPA

TouchDesigner Pro(可视化原型渲染设计)

Rose

从冒泡到选择:经典排序算法背后的深度解析与优化

测吧(北京)科技有限公司

测试

队列在实际开发中的应用:管道、消息收发与 FIFO 原理揭秘

测吧(北京)科技有限公司

测试

博云AIOS+DeepSeek:代码辅助评审

BoCloud博云

博云 DeepSeek

探索高效项目管理协作的解决方案

axe

项目管理 办公软件 项目协作

谷云科技iPaaS×DeepSeek:构建企业智能集成的核心底座

RestCloud

AI 智能体 数据集成平台 ipaas DeepSeek

链表的魅力:单链表与双链表常见算法应用详解

测吧(北京)科技有限公司

测试

Turbo Boost Switcher Pro for mac(cpu频率调节软件)

Rose

火语言 —— 打破分享限制,拥抱开源世界

火语言RPA

堆栈的奥秘:LIFO 与栈、堆的深度对比与应用场景

测吧(北京)科技有限公司

测试

JUC并发—ThreadLocal源码分析

不在线第一只蜗牛

Java 算法 JVM

小红书运营难题一键破!火语言 RPA 开启涨粉变现新捷径

火语言RPA

foobar2000 for mac(多功能音频播放器)v2.24.2免激活版

Rose

什么是DNS反射放大攻击?如何预防?

国科云

算法优化必看:时间复杂度与空间复杂度的深度解析

测吧(北京)科技有限公司

测试

人工智能丨基于视觉模型的目标检测技术在自动化测试中的应用

测试人

Proof Beyond Boundaries: Hong Kong zkNight 活动精彩回顾

TechubNews

VMware Fusion Pro 11 Mac(vm虚拟机)v11.5.7中文激活版

Rose

不懂代码别发愁,火语言 RPA 助你轻松搞定 B 站稿件发布

火语言RPA

Sandisk闪迪成功完成与西部数据分拆,正式登陆纳斯达克

极客天地

0 代码!2 种方式,一键部署 DeepSeek 系列模型

阿里巴巴云原生

阿里云 Serverless 云原生 函数计算

星海智算+ DeepSeek-R1:技术突破与行业应用的协同革新

Yan-英杰

人工智能 DeepSeek

DMG Canvas for mac(DMG镜像制作工具)v4.1.2激活版

Rose

别再盲目发小红书笔记,火语言 RPA 教你高效运营秘籍

火语言RPA

二叉树探索:从创建到遍历,前序中序后序算法全攻略”

测吧(北京)科技有限公司

测试

抖音爆款制造机:火语言的内容优化秘籍

火语言RPA

Linux基金会披露最常用的开源组件及其安全问题_安全_万佳_InfoQ精选文章