支撐萬(wàn)億美元規(guī)模數(shù)字經(jīng)濟(jì)基礎(chǔ)設(shè)施的Linux，終于擁有了兩名全職帶薪安全工程師。

　　Google昨日宣布將為兩名專注Linux內(nèi)核安全的開(kāi)發(fā)人員提供薪水，此舉對(duì)于Google來(lái)說(shuō)雖然只是九牛一毛的資金投入，其意義卻不同尋常。

　　以Linux為代表的自由和開(kāi)源軟件（FOSS）已成為現(xiàn)代經(jīng)濟(jì)的重要組成部分，據(jù)估計(jì)，F(xiàn)OSS在現(xiàn)代軟件中的占比高達(dá)80%-90％，任何安全問(wèn)題都有可能給各行各業(yè)帶來(lái)災(zāi)難性的后果。

　　但令人難以想象的是，在開(kāi)發(fā)安全口號(hào)響徹云天的今天，即便是Linux這樣的支柱性的開(kāi)源軟件項(xiàng)目，也嚴(yán)重缺乏安全資源支持，甚至沒(méi)有“全職”安全人員。

　　Google對(duì)Linux原生安全生態(tài)或者說(shuō)基礎(chǔ)安全問(wèn)題的“人工救助”和呼吁，一方面說(shuō)明Linux安全問(wèn)題，尤其是Linux內(nèi)核安全的“安全債”已經(jīng)威脅到Google自身業(yè)務(wù)，另一方面也說(shuō)明，開(kāi)源軟件的原生安全不是設(shè)立一個(gè)高額漏洞賞金計(jì)劃，“用錢(qián)砸”就能解決的問(wèn)題，Google希望能夠釋放一個(gè)信號(hào)，吸引其他科技公司也重視并投入Linux安全。

　　頭號(hào)威脅：開(kāi)源供應(yīng)鏈安全

　　對(duì)于Google以及很多依賴Linux的科技巨頭來(lái)說(shuō)，緩解處于上游的Linux安全威脅變得更加緊迫，因?yàn)镚oogle在開(kāi)源軟件上的賭注越來(lái)越大，Google甚至為L(zhǎng)inux基金會(huì)貢獻(xiàn)了Kubernetes，后者已成為云原生計(jì)算運(yùn)動(dòng)的關(guān)鍵。

　　Google員工軟件工程師Dan Lorenc說(shuō)：“隨著開(kāi)源在關(guān)鍵基礎(chǔ)設(shè)施中的重要性不斷提升，開(kāi)源代碼工具的安全性問(wèn)題也變得更為緊迫?！?/p>

　　Google一直在擴(kuò)大對(duì)安全的關(guān)注，這是使Google Cloud云服務(wù)產(chǎn)品對(duì)持有超敏感數(shù)據(jù)的公司客戶更具吸引力的舉措的一部分。

　　“希望這是一個(gè)積極的反應(yīng)。”Lorenc說(shuō)道：“我們正在努力領(lǐng)先于供應(yīng)鏈攻擊的興起。”

　　Linux基金會(huì)的開(kāi)源安全基金會(huì)（OpenSSF）與哈佛大學(xué)創(chuàng)新科學(xué)實(shí)驗(yàn)室（LISH）合作發(fā)布了一份最新的報(bào)告，該報(bào)告強(qiáng)調(diào)了對(duì)包括Linux在內(nèi)的開(kāi)源生態(tài)的安全性需求。

　　Lorenc說(shuō)，隨著Linux在供應(yīng)鏈和其他大型系統(tǒng)中變得越來(lái)越重要，它自然已成為網(wǎng)絡(luò)罪犯的更大目標(biāo)?，F(xiàn)在許多公司都在出售安全解決方案，但是支持Linux內(nèi)核仍被視為加強(qiáng)基本安全性的一種方法。

　　通過(guò)開(kāi)源安全基金會(huì)，大約有20,000名貢獻(xiàn)者按自己的時(shí)間來(lái)維護(hù)和開(kāi)發(fā)Linux。盡管其中許多人對(duì)安全性有些興趣，但實(shí)際投入很少，而Google的舉動(dòng)可能有助于使安全性成為L(zhǎng)inux項(xiàng)目的重中之重。

　　有趣的是，Google資助的兩個(gè)維護(hù)者Gustavo Silva和Nathan Chancellor是一對(duì)夫婦，Google希望一筆穩(wěn)定可觀的薪水可以鼓勵(lì)他們?nèi)硇耐度隠inux內(nèi)核的安全開(kāi)發(fā)，這對(duì)夫婦一直是此領(lǐng)域最活躍的參與者之一。

　　沒(méi)人愿意在安全問(wèn)題上花時(shí)間

　　開(kāi)源軟件的“安全債”不僅僅是資金問(wèn)題，更主要的是觀念和時(shí)間問(wèn)題。

　　2020年的開(kāi)源貢獻(xiàn)者調(diào)查中，在被問(wèn)及有哪些外部資源對(duì)開(kāi)源項(xiàng)目安全性產(chǎn)生最大影響時(shí)，將近三分之二的受訪者提到了錯(cuò)誤/安全修復(fù)程序，三分之一的受訪者提及免費(fèi)的安全審核（調(diào)查參與者可以選擇多個(gè)答案）。大約25％的受訪者表示他們希望在其持續(xù)集成流程中添加與安全性相關(guān)的工具。大約18％的人要求提供有關(guān)安全軟件開(kāi)發(fā)的免費(fèi)課程。

　　顯然，安全確實(shí)是開(kāi)源軟件貢獻(xiàn)者的首要任務(wù)，但是，當(dāng)被問(wèn)及是否將時(shí)間花在與安全有關(guān)的活動(dòng)上時(shí)，只有2.3％的受訪者回答是。此外，調(diào)查對(duì)象表示他們不希望將來(lái)在安全上投入更多時(shí)間。

　　總而言之，雖然開(kāi)源軟件貢獻(xiàn)者認(rèn)為安全性很重要，但他們不想成為負(fù)責(zé)安全性的人。他們寧愿通過(guò)第三方審核或開(kāi)源安全管理工具（例如FOSS）轉(zhuǎn)移安全性相關(guān)工作負(fù)載。

　　報(bào)告指出，鑒于這些發(fā)現(xiàn)，在可行的情況下，管理開(kāi)源軟件項(xiàng)目的組織應(yīng)為額外的外部安全資源提供資金。安全性流程自動(dòng)化程度越高，項(xiàng)目受到的保護(hù)就應(yīng)越多。

　　開(kāi)源軟件安全教育市場(chǎng)巨大

　　2020年，大多數(shù)開(kāi)源軟件貢獻(xiàn)者調(diào)查的受訪者通過(guò)非正式手段（而不是正式課程、公司培訓(xùn)課程或認(rèn)證）了解安全代碼開(kāi)發(fā)。

　　最受歡迎的資源是在線論壇（StackOverflow、Reddit等），將近51％的參與者將其視為學(xué)習(xí)安全最佳做法的有用場(chǎng)所。博客和在線文章緊隨其后，約47％的受訪者選擇它們。（參與者可以選擇多個(gè)答案）。30％的受訪者選擇“其他”，其中最受歡迎的選項(xiàng)是工作經(jīng)驗(yàn)、同事與共同貢獻(xiàn)者之間的知識(shí)共享。

　　對(duì)于開(kāi)發(fā)和/或依賴開(kāi)源項(xiàng)目的組織和個(gè)人來(lái)說(shuō)，可以根據(jù)上述調(diào)查結(jié)果，選擇貢獻(xiàn)者最常用的渠道和資源提供安全教育和培訓(xùn)。例如，您可以針對(duì)特定的安全問(wèn)題創(chuàng)建一個(gè)StackOverflow話題和共享中心，或者維護(hù)一個(gè)安全開(kāi)發(fā)為主題的博客文章列表。

　　這其中蘊(yùn)含巨大的安全培訓(xùn)機(jī)會(huì)。根據(jù)FOSS的調(diào)查結(jié)果，貢獻(xiàn)者對(duì)通用安全實(shí)踐的實(shí)施差異很大。例如，幾乎80％的受訪者表示他們的網(wǎng)站支持SSL/TLS，而41％的維護(hù)者或核心參與者專注于安全性。但是，只有26％的人制定了安全策略，只有22％的人在其項(xiàng)目中使用了威脅模型。