数字经济基础设施支持万亿美元的规模Linux,终于有了两名 *** 带薪安全工程师。
Google昨天宣布两人将集中精力Linux内核安全开发人员提供工资,为此举Google虽然只是九牛一毛的资金投入,但其意义却不同寻常。
以Linux自由和开源软件代表(FOSS)据估计,已成为现代经济的重要组成部分,FOSS现代软件占80%-90%,任何安全问题都有可能给各行各业带来灾难性的后果。
但不可想象的是,在今天响彻云天的安全口号发展中,即使是Linux这种支柱开源软件项目也严重缺乏安全资源支持,甚至没有“ *** ”安全人员。
Google对Linux原生安全生态或者说基础安全问题的“人工救助”和诉,一方面说明Linux特别是安全问题Linux内核安全的“安全债”已经威胁到Google另一方面,自身业务也表明,开源软件的原生安全并非设立高漏洞赏金计划,“用钱砸”能解决的问题,Google希望能发出吸引其他科技公司关注和投资的信号Linux安全。
头号威胁:开源供应链安全
对于Google还有很多依赖Linux对于科技巨头来说,缓解上游Linux安全威胁变得更加紧迫,因为Google开源软件上的赌注越来越大,Google甚至为Linux基金会做出了贡献Kubernetes,后者已成为云原生计算运动的关键。
Google员工软件工程师Dan Lorenc说:“随着开源在关键基础设施中的重要性不断提高,开源代码工具的安全性变得更加紧迫。”
Google一直在扩大对安全的关注,这是为了使Google Cloud云服务产品是持有超敏感数据的公司客户更具吸引力。
“希望这是一种积极的反应。”Lorenc说道:“我们正试图引领供应链攻击的兴起。”
Linux开源安全基金会基金会(OpenSSF)与哈佛大学创新科学实验室合作(LISH)合作发布了最新的报告,强调包括Linux开源生态的安全要求。
Lorenc说,随着Linux它在供应链和其他大型系统中变得越来越重要,自然成为 *** 罪犯的更大目标。现在很多公司都在销售安全解决方案,但是他们支持Linux内核仍被视为加强基本安全的一种 *** 。
通过开源安全基金会,大约有2万名贡献者根据自己的时间进行维护和开发Linux。虽然很多人对安全感兴趣,但实际投资很少,Google行动可能有助于使安全成为安全Linux项目的重中之重。
有趣的是,Google资助的两个维护者Gustavo Silva和Nathan Chancellor是一对夫妇,Google希望稳定可观的薪水能鼓励他们全身心投入Linux这对夫妇一直是这一领域最活跃的参与者之一。
没有人愿意在安全问题上花时间
开源软件的“安全债”不仅仅是财务问题,更重要的是概念和时间问题。
2020在200年的开源贡献者调查中,近三分之二的受访者在被问及哪些外部资源对开源项目的安全影响更大时提到了错误/安全修复程序,三分之一的受访者提到了免费的安全审查(参与者可以选择多个答案)。大约25%的受访者表示,他们希望在连续集成过程中添加与安全相关的工具。大约18%的人要求提供安全软件开发的免费课程。
显然,安全确实是开源软件贡献者的首要任务,但当被问及是否将时间花在与安全相关的活动上时,只有2.3%的受访者回答是。此外,调查对象表示他们不希望将来在安全上投入更多时间。
总之,虽然开源软件贡献者认为安全非常重要,但他们不想成为负责安全的人。他们宁愿通过第三方审计或开源安全管理工具(例如FOSS)与安全相关的工作负荷转移。
报告指出,鉴于这些发现,在可行的情况下,管理开源软件项目的组织应为额外的外部安全资源提供资金。安全过程自动化程度越高,项目的保护就越多。
开源软件安全教育市场巨大
2020多年来,大多数开源软件贡献者通过非正式手段(而不是正式课程、公司培训课程或认证)了解安全代码开发。
更受欢迎的资源是在线论坛(StackOverflow、Reddit等等),近51%的参与者将其视为学习安全更好的有用场所。博客和在线文章紧随其后,约47%的受访者选择它们。(参与者可以选择多个答案)。30%的受访者选择“其他”,更受欢迎的选择是工作经验、同事和共同贡献者之间的知识共享。
对于开发和/或依赖开源项目的组织和个人,可以根据上述调查结果选择贡献者提供安全教育和培训最常用的渠道和资源。例如,您可以为特定的安全问题创建一个StackOverflow主题与共享中心,或维护以安全开发为主题的博客文章列表。
这包含了巨大的安全培训机会。FOSS在调查结果中,贡献者对一般安全实践的实施存在很大差异。例如,几乎80%的受访者表示他们的网站支持SSL/TLS,41%的维护人员或核心参与者专注于安全。然而,只有26%的人制定了安全策略,只有22%的人在项目中使用威胁模型。
【本文是51CTO专栏作者“安全牛”请通过安全牛(微信微信官方账号)转载原创文章id:gooann-sectv)获取授权】
戳这里,看作者更好的文章