開源代碼的安全戰(zhàn)役，有沒有另一種打開方式？

無論從哪個(gè)角度看，開源代碼的安全戰(zhàn)都是一場十分必要、不容退卻的全民戰(zhàn)爭。當(dāng)然了，普通用戶只能打call，沖鋒陷陣的還得是軟件公司和程序員們。

對此，產(chǎn)業(yè)界也開始拿出了一些試圖從根源上解決問題的辦法。簡單說幾個(gè)：

一、漏洞獎(jiǎng)勵(lì)

2012年，谷歌推出了Chrome獎(jiǎng)勵(lì)計(jì)劃和漏洞獎(jiǎng)勵(lì)計(jì)劃，鼓勵(lì)程序員找出其瀏覽器及在線服務(wù)中的具體弱點(diǎn)，使得廣泛使用的開源軟件盡可能不那么容易遭受攻擊，并為此支付500到3133美元不等的報(bào)酬。2013年，美國國家安全局也撥出了2510萬美元，用于“額外秘密購買軟件弱點(diǎn)”。

如今，漏洞賞金計(jì)劃已成為許多互聯(lián)網(wǎng)公司的重要安全策略之一，微軟推出了迄今為止最高的Windows Bug獎(jiǎng)勵(lì)計(jì)劃，達(dá)到250000美金。蘋果、美國國防部、Facebook、騰訊、阿里ASRC、百度等為其漏洞支付的總金額也非常的驚人。

重賞之下，安全漏洞的時(shí)間差也有望有效減少。

二、新技術(shù)工具

無論是防止源代碼中的信息泄露，還是要尋找惡意文件、阻止惡意進(jìn)程、保證端點(diǎn)安全，都有越來越多的技術(shù)工具可供使用，許多云安全公司和運(yùn)營商等也都開始參與安全工具的開發(fā)。

比如最近的開源領(lǐng)導(dǎo)者峰會上，Linux基金會就宣布了Red Team（紅隊(duì)）項(xiàng)目。新項(xiàng)目將孵化開源網(wǎng)絡(luò)安全工具，以幫助提高開源軟件的安全性。

作為開源安全工具的孵化器，Red Team支持網(wǎng)絡(luò)范圍自動化，容器化滲透測試工具，二進(jìn)制風(fēng)險(xiǎn)量化和標(biāo)準(zhǔn)驗(yàn)證程序等。并且能夠在云上模擬黑客攻擊，用戶可以部署黑客腳本，并對現(xiàn)實(shí)中的團(tuán)隊(duì)進(jìn)行安全培訓(xùn)。

諸如Commit Watcher等種種開源工具的出現(xiàn)，幫助程序員查找潛在危險(xiǎn)失誤，也正在使軟件開發(fā)過程變得大不相同。

三、加密算法

如果我們將數(shù)據(jù)信息看做是網(wǎng)絡(luò)世界最寶貴的財(cái)富，那么加密機(jī)制就是一個(gè)可以保護(hù)數(shù)據(jù)的保險(xiǎn)箱。除了將箱體打造的更加水火不侵，“鎖芯”這道防線也需要不斷迭代。

尤其是現(xiàn)在越來越多的機(jī)構(gòu)與企業(yè)選擇云計(jì)算技術(shù)作為復(fù)雜業(yè)務(wù)的解決方案，開源云平臺的安全問題也更加速咋，因此，數(shù)據(jù)加密算法的解決方案就顯得尤為重要了。

像是可以對企業(yè)數(shù)據(jù)進(jìn)行安全分級，對等級高的數(shù)據(jù)先采用對稱算法進(jìn)行加密，并將對稱算法產(chǎn)生的秘鑰進(jìn)行非對稱加密存儲，從而兼顧數(shù)據(jù)和安全性，以及系統(tǒng)運(yùn)行效率。

在硬件端，谷歌也剛剛推出了針對低端手機(jī)的新加密標(biāo)準(zhǔn)Adiantum，在沒有足夠計(jì)算能力芯片的前提下，也能實(shí)現(xiàn)高速計(jì)算來進(jìn)行哈希算法加密及解密，從而提升終端設(shè)備的安全性能。

從長遠(yuǎn)來看，開源社區(qū)更加靈活和開放的構(gòu)建方式，會令它繼續(xù)成為開發(fā)江湖的“根據(jù)地”。但當(dāng)開放與自由成為雙刃劍，又成為一個(gè)流著“奶與蜜”的數(shù)據(jù)豐饒之地，就很容易被不法之徒虎視眈眈。至少從GitHub這件事上看，開源代碼的安全問題，應(yīng)該已經(jīng)來到了一個(gè)危險(xiǎn)的臨界點(diǎn)，也給一直以來“違規(guī)飆車”的業(yè)界敲響了警鐘。

用開源軟件的倡導(dǎo)者Eric S． Raymond的話來說——高質(zhì)量的代碼，就是對程序自己最好的注釋。（作者：腦極體）