談到安全性，人們通常關注的焦點始終圍繞限制訪問以防止未經授權的入侵。無論是鎖住房屋的物理門還是密封組織的數字網絡，安全始終專注于創建一個封閉的環境。然而，在過去幾年中，這種封閉的安全方法受到了開源軟件和硬件的挑戰，組織依賴公開可用的代碼在其網絡中部署和構建應用程序。 

開源的演進

開源涉及使用開放和免費可用代碼的組織，如今它越來越流行，據Synopsys開源安全和風險分析報告的最新數據顯示，如今代碼庫中 有78% 的代碼是開源的。 

在考慮開源的益處時，不僅代碼可以免費使用，而且還為組織提供了更高的透明度，因為他們可以看到自己正在使用的源代碼并評估其安全性。 

他們還可以看到對代碼所做的更改，并與開發人員合作對其進行改進。此外，由于許多組織都在使用相同的代碼，因此通常可以更快地識別出錯誤和弱點，并且用戶社區將提供專家建議來修復它們。這意味著有更多的人關注代碼，他們的目的都是為了使代碼盡可能地安全。

支持開源的最突出的組織之一是特斯拉，其首席執行官埃隆·馬斯克 (Elon Musk) 早在 2018 年就選擇開源其代碼。馬斯克意識到世界的未來將嚴重依賴電動汽車，但電動汽車要取得成功，人們需要投資于其安全性。作為回應，馬斯克開源了特斯拉的軟件，允許其他人在它的基礎上制造汽車，并對它的安全性充滿信心。 

馬斯克遵循著許多其他組織的腳步，包括 Facebook、微軟和谷歌，他們都通過開源項目獲益。這些技術領導者不僅通過漏洞賞金和安全評估向安全研究人員開放他們的網絡，而且他們還資助開源項目并擁有致力于開源計劃的團隊。 

例如， 數字安全設計 (DSbD)? 計劃將通過創建一個新的、更安全的硬件和軟件生態系統，從根本上更新不安全的數字計算基礎設施的基礎。DSbD 計劃 已經交付了 DSbD 技術的第一個片上系統 (SoC) 原型和開發板 Morello的硬件實現。Morello 開發板是由英國 Arm 公司基于劍橋大學計算機實驗室的 CHERI 保護模型開發的 Morello 原型架構的真實測試平臺。

CHERI 旨在提供實際可部署的性能和兼容性，只需要對現有軟件和硬件進行最小的更改：重新編譯現有的 C/C++，并進行輕微的自適應，可以保護具有功能的指針。這結合了硬件實現、完整的軟件堆棧和適應廣泛使用的開源軟件，以提高安全性并鼓勵測試。

開源思維是航空業多年來認可的一種思維方式。當航空事故發生時，航空公司不會逃避，取而代之的是整個航空業共同努力調查這一事件并建造更安全的飛機。這種團體精神使航空旅行成為當今最安全的交通方式。 

然而，它肯定也是有風險的。 

那么，主要風險是什么？如何克服這些風險？

開源風險

開源的最大風險之一是沒有經常管理或更新，這可能會給用戶帶來風險。 

雖然特斯拉開源軟件的用戶可以放心，其代碼將得到徹底管理，但對于規模較小且缺乏經驗的開發人員來說，情況并非總是如此，尤其是因為他們正在免費贈送一些東西。

如果代碼沒有更新并且沒有人負責更新它，那么當出現問題時，沒有人可以追究責任。最終，它只會被錯誤和漏洞所困擾，從而將其用戶置于嚴重風險之中。事實上，最近 Synopsys OSSRA 報告顯示，81% 的開源代碼包含漏洞。  

因此，當組織評估開源軟件和硬件時，必須進行盡職調查并分析產品的質量，并在將產品引入組織架構之前了解其創建人。 

找出誰負責修改和更新代碼，并確保他們有資源、精力和時間來執行必要的安全更新；否則，未來無疑會出現風險。 

這也是世界各國政府評估開源并考慮規范該行業的關鍵原因之一。擬議的法規將確保開源項目擁有所有者并負責更新。然而，這可能會阻礙市場，因為潛在的違規行為會導致希望進入開源領域的開發人員減少。

推動開源發展

開源通過匯集來自不同來源的專業知識來開發更好、更安全的產品，為組織提供了真正的安全優勢。但是，組織必須在將開源代碼部署到其網絡之前進行研究。  

對于組織來說，有一個內部管理人員來確保安全得到維護和迅速進行更新也是至關重要的。了解開源安全性以及如何管理開源組件的開發人員是管理內部開源項目的最佳人選。

那么，開源是實現安全的最佳途徑嗎？這一切都取決于項目本身，但如果做得好，它肯定會為企業帶來許多無與倫比的安全優勢。

原標題：Is Open Source the Greatest Path to Security?

作者：Darren Prehaye

鏈接：https://www.infosecurity-magazine.com/opinions/open-source-path-security/

 ?