凭藉自动检测机制 清理开源安全漏洞 智能应用 影音
Microchip
ST Microsite

凭藉自动检测机制 清理开源安全漏洞

  • 魏淑芳

Black Duck Software亚太区总经理陈泽辉(Keith Chan)。
Black Duck Software亚太区总经理陈泽辉(Keith Chan)。

现今多数企业的软件开发流程,实与过去大不相同,愈来愈懂得透过网络查找自由开源授权软件元件(FOSS),并插入于程序码当中;不仅如此,即使企业将程序开发委外,外包厂商往往也会采用FOSS,更有甚者,企业使用的第三方商用软件,里头亦有FOSS。

总之,开源代码已透过各种途径,大量充斥于企业应用环境,其间是否潜藏安全风险,实为重大课题。

Black Duck Software亚太区总经理陈泽辉(Keith Chan)表示,根据统计,全球排名前2,000大企业,采用开源软件的比例直逼40%;值得一提的,这些采用FOSS的大型企业机构,并非将此用于聊备一格的非关键型应用,而有高达66%比例用在诸如财务等关键系统。在此前提下,企业基于安全管理角度,着实需要建立一套有效机制,藉以管控伴随FOSS而来的所有潜在风险。

开源软件如两面刃  有好处却也潜藏危机

为何愈来愈多大型企业机构,对开源软件趋之若鹜?道理很简单,因为此举蕴含了诸多好处,最显而见的诱因有三,一是弹性,只因为只要修改、混合或重复运用这些FOSS,便可随时灵活满足各种应用开发需求;二是创新,众所周知,开源社群充满了一大群饶富创意的好手,也因而繁衍众多极具创新意涵的作品,比起市售商用软件套件,可说更具前瞻性;三是成本优化,企业将本求利,总是希望运用最少的支出,换取最大的报酬,而使用FOSS所需付出的金钱代价,远远低于采购商用软件套件,甚至其成本趋近于可以略而不计的轻微地步。

「在享受好处的同时,企业亦应留意个中风险,」陈泽辉说,归纳开源软件可能带来的危机,首先是技术风险,企业所选用的FOSS版本,是否具备成熟可用的良好品质,务须审慎确认;其次是安全风险,回顾2014年,肇因于OpenSSL的Heartbleed心淌血漏洞,可谓震惊各界,只因黑客可据此在3~4小时内轻易窃取害企业的使用者帐号与口令,严重性可见一斑,面对诸如此类的危机,企业理应有所防范。

三是法规风险,企业必须体认到,不同的开源软件,往往适用于不同的授权规范,例如被广泛采用的GPL,便具有较高的授权拘束性,用户在散布时需遵循GPL条款,否则就有可能招致侵权纷扰,而企业在使用FOSS前,是否理解其所适用的授权规范?即使刻意回避开GPL,然而该FOSS底层是否仍挟带若干必须适用GPL的元件?凡此种种,都有必要一探究竟。

陈泽辉进一步阐述上述风险的严重性。以安全风险为例,如同2014年4月期间,甲骨文(Oracle)一口气发布了多达104项安全修补程序,范围遍及Java、Fusion Middleware与MySQL,倘若企业连自己使用了哪些FOSS都浑然不知,那麽究竟哪些部门的哪几支程序,应不应该立即进行修补,恐陷于无从得知的窘境,如果此时处理不当,则相关的安全漏洞,便可能一直如影随形地留存于企业内部的应用环境,后果不堪设想。

务须建立材料清单  以利自动检测漏洞

但问题来了,企业纵使知道开源安全性的严重性,也认为需要善加管控,但真的要做好此事,其实并不容易。首先,开源软件的安全漏洞通知机制,往往不甚友善,使用者必须自己随时主动查看,对于企业应用程序开发团队,无疑是一大挑战。

其次,在许多情况下,单一FOSS项目可能被套用在许多应用程序,有一个实际案例,某Java版本曾传出漏洞信息,但一家拥有逾6,000位开发人员的银行,根本不知行内有哪些应用程序内含此版Java,若欲追根究底,起码得耗时5年以上才能清查完毕,彷佛大海捞针,但一些面向广大顾客的应用服务,容许这般漫长等待?

陈泽辉指出,前述那家银行,历经当时震撼教育,便亟思建立一套自动化管理机制,藉以妥善因应日后层出不穷的漏洞信息,意即不管哪些FOSS出现任何弱点,该行都能在第一时间确知自己是否受到影响,如果是的话,也能立即掌握影响范围何在,而无需在累积长达十余年的大型软件仓库中耗时查找。

着眼于此,Black Duck设计出开源安全性漏洞的自动检测与修复方案,并协助用户建立一目了然的FOSS材料清单,以便于迅速判断其间是否存在安全漏洞或侵犯法规等种种风险。

此套方案名为「Black Duck Hub」,系依据软件开发流程作为端对端的设计架构,使企业用户能透过选择、扫描、审核、存放、安全、交付等6道严谨程序,逐一过滤开源安全性,只要发现有安全疑虑,便能加以弃用或修复,如果经证实并无安全隐忧,即可存入数据库,以利日后重复使用。

对此陈泽辉补充,Black Duck拥有源自逾6,000网站、超过2,400项不同软件授权的Knowledge Base,便于用户预先筛选优良的开源语言或Container等工具,接着动用Black Duck OSS Logistics扫描机制,确认选用标的之源头已否历经任何窜改程序,及是否挟带隐藏代码,经验证无误便可归档于白名单以利取用,搭配日后持续性监控,过滤这些白名单是否变调,避免其开发流程或环境出现危机。

关键字