去年一月,在美国白宫举行的一次网络安全会议上,亚马逊、微软、谷歌和其他大型科技公司的官员呼吁加大对开源安全领域的投资。此次会议召开之际,正值一系列网络攻击事件发生之后,其中最引人注目的是针对 Apache 旗下著名开源库Log4j 的攻击。Log4j 被几乎所有企业应用和云服务所使用,包括当天在场的科技领袖们。
谁拥有开源漏洞?
这些漏洞的曝光引出了一个关于开源软件安全的重要问题:如果没有一个实体“拥有”开源软件,那么当漏洞暴露时,谁有责任修补和保护这些解决方案?
会后,谷歌首席法务官肯特·沃克明确地描述了这一困境,他说:
开源软件代码面向公众开放,任何人都可以免费使用、修改或检查。由于其免费性,开源软件促进了协作创新和新技术开发,从而帮助解决共同面临的问题。正因如此,许多关键基础设施和国家安全系统都采用了开源软件。然而,目前并没有官方的资源分配,也鲜有维护这些关键代码安全性的正式要求或标准。事实上,维护和增强开源软件安全性的大部分工作,包括修复已知漏洞,都是由志愿者以临时性的方式完成的。
长期以来,软件社区一直误以为开源软件由于其透明性以及“众目睽睽”的监控机制,通常都是安全的,从而能够发现并解决问题。但事实上,虽然有些项目确实受到很多人的关注,但另一些项目却鲜有人关注,甚至完全无人关注。
开源解决方案所有权和开发的分散性意味着其固有的安全风险。由于技术上没有人“拥有”代码,也没有人负责确保其安全性,因此业界普遍认为开源软件相对于专有解决方案而言安全性较低。但正因为有众多人员在监控开源代码,其分散性反而可以作为一种安全工具加以利用。
成功管理开源安全需要密切监控和问责——这意味着需要领导力、协调和协作来负责披露和修复安全漏洞。这样,如果社区内有领导者负责协调和协作,以弥补安全漏洞,就能相对快速地发现和修复安全漏洞。
推动开源安全向前发展
AMI 坚定致力于开源生态系统,并通过开发Aptio® OpenEdition 和 MegaRAC® OpenEdition 开源固件解决方案来推动行业发展。为了帮助提高开源安全性的透明度,我们制定了保障这些工具未来发展的核心原则:
- 我们会监控开源软件的漏洞:有些开源项目由其创建者精心维护,而有些则不然。AMI 的开源解决方案由同一支团队严格控制并监控安全漏洞,采用与我们的专有解决方案相同的安全方法。我们会持续监控安全形势,以便识别漏洞并快速修复需要补救的问题。
- 在公开披露日期之前,我们会将安全修复程序推送给合作伙伴:在这些版本发布到公共代码库之前,我们会为受服务级别协议 (SLA) 约束的用户提供私有安全补丁。这种方法使我们的客户能够在安全更新进入开源社区之前就获得更新,从而使专业的 AMI 合作伙伴有机会在漏洞公开之前保护自身安全。
- 在公开披露之前,我们对安全公告严格保密:我们要求所有合作伙伴在服务级别协议 (SLA) 的约束下,根据保密协议接收更新信息。正如2018 年Spectre 漏洞给安全界带来的教训,公开安全补丁可能会对后期采用者造成负面影响,因为这会暴露漏洞并使未打补丁的用户面临风险。AMI 通过尽早且频繁地推送补丁来应对这一威胁,在任何漏洞公开披露之前数月,就能保护我们范围内的用户免受漏洞侵害。
致力于开源安全最佳实践
开源项目是我们共同构建数字化未来的重要组成部分。然而,在更广泛的开源社区中,安全修复的责任归属仍然不够明确。AMI 致力于在维护我们对开源代码库的贡献的同时,始终将安全最佳实践放在首位。一旦发现需要修复的安全漏洞,我们会迅速采取行动,并以高度保密的方式,在漏洞信息公开之前保护合作伙伴的软件安全。
与往常一样,如果您对 Aptio 和 MegaRAC OpenEdition 固件解决方案中的固件安全性有任何疑问,请联系您所在地区的 AMI 代表寻求帮助。
