http://www.dfagri.com/

开源现状研究:应用四处开花,治理急需补课

此外,杨国梁特别强调说:“最危险的,是企业还可能应用到未知类型的许可,也就是没有加入任何一种许可证的组件。因为本质上它可能就是一颗定时炸弹,它的所有人可能会把它修改成在任何一种许可证体系之下,甚至规定它就是不可用的。但这一问题却又是广泛存在的,新思科技的审计报告中有这样的记录:33%的被审代码库中发现了未给出任何明确的许可授权或使用条款的开源代码。”

这场运动在经历反主流文化、赛博空间等一系列事件和意识形态演进之后,终于在1984年有了结果。其代表事件就是 Richar Stallman 成立 GNU 项目发起自由软件运动。但开源很快就出现了分枝,有别于Richar Stallman 的自由软件,Eric Raymond分化出了开源软件,并在其代表作《大教堂与集市》中更是把开源理论提升到了一个新的高度。

  新思科技(Synopsys)公司软件质量与安全部门高级安全架构师杨国梁

杨国梁透漏,新思科技目前的业务不仅限制于法务和安全方面,在CSA,API测试、交互式测试等多个方面都有着深厚的应用经验和项目积厚。开源应用已经进入了一个新阶段,新思科技将在开源治理方面帮国内企业走得更远。

但在这样的形势之下,相应的风险也随之而来。回到大教堂和集市这个话题,商业软件的大教堂里戒律森严,但松散型的集市也一定会有对应的法规存在,这个法规就是许可证协议。从开源诞生之日起,许可证就具备了相应的法律效力,但国内开源却最容易忽略这一点。

事实上,开源软件许可协议伴随其成长,经历了常人难以想象的复杂进化过程。

1964年,加州大学伯克利分校的学生参加了一场言论自由游行活动。他们中的许多人在空白的计算机打孔卡打上 FSM(free speech movement) 和 Strike 的字样,挂在脖子上,以此来表达对集中式的官僚主义和权威的蔑视。这一事件可以被看作是开源运动的开端。

事实上,开源组件的风险不仅止于法务和安全风险,由于一些开源组件其背后的维护组织出现问题,缺乏维护的老旧开源组件还可能给整个系统带来运维风险。新思科技的调查报告表明,82%的代码库中包含已经过期四年以上的组件,88%的代码库中包含过去两年没有任何开发活动的组件。

当一个漏洞产生之后,NVD发布了漏洞信息,与此同时POC/EXP流出,这个时候黑客可能会利用漏洞发起攻击。黑客的攻击在此后被发现,最终这个漏洞被修复了。在这个过程中,从NVD发布漏洞信息,一直到漏洞被修复,都是高安全风险期。但事实上NVD只是一个漏洞聚合平台,在此之前,漏洞可能已发布于各种平台。NVD甚至于可能要比漏洞的源头晚了27天,这样一来,高安全风险期就要再加上27天。于是,解决问题的关键,就在于尽早发现漏洞。

在谈及这一事件时,杨国梁强调:“现在国内开源发展的最大问题,一方面是现在所有的创新与开发都与开源相伴,另一方面应用开源组件却面临法务、安全、运维三重风险。目前开源许可证协议已达到了2600种,理工科出身的技术人员要应对开源许可法务问题十分棘手。因此开源治理已是箭在弦上,不得不为。”

新思科技的统计数字表明,被审计的代码中,有75%的代码中存在漏洞,49%的代码库中包含高风险漏洞。由于开源组件的安全漏洞,Equifax曾因此类攻击,股价下跌超过30%,CEO因此而离职。

对此,杨国梁介绍说:“目前新思科技可以提供Black Duck工具软件,通过自动扫描,在界面中把相关法务条款归纳好,给出企业中工程技术人员和法务人员需要做什么,什么不能做,什么是可以做的等内容的建议。但目前应用开发界最急需的,是提升针对开源许可协议的法务风险意识。”

在《大教堂和集市》一文中,Eric Raymond把世界上的建筑分两种:一种是集市,天天开放在那里,从无到有,从小到大;还有一种是大教堂,几代人呕心沥血,几十年才能建成,投入使用。我们可以把这看成两个世界,大教堂是商业软件的世界,而集市则是开源软件的地界。

在一般意义上,开源软件被定义为可以在商业许可协议之外访问其源代码的软件。但专业人士通常更爱用这样一个定义:开源软件是任何人都可以自由访问、使用、更改和共享(以修改或未修改的形式)的软件。开源软件是由许多人制作的、并根据符合开源定义的许可进行分发。

  大教堂与集市

2019年11月6日,数字天堂(北京)网络技术有限公司诉柚子(北京)科技有限公司、柚子(北京)移动技术有限公司侵犯计算机软件著作权纠纷一案,由北京市高级人民法院做出二审终审判决,认定柚子公司提出的HBuilder软件三个插件属于应遵循《GNU通用公共许可协议》开放源代码的衍生作品的抗辩理由不成立,APICloud软件复制并修改HBuilder软件中的三个插件的行为构成对数字天堂公司复制权、改编权及信息网络传播权的侵犯,判令柚子公司停止侵权并赔偿71万元。至此,第一个在中国涉及GPL协议的诉讼案件结局尘埃落地。

零日攻击的实质

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。