程序员大本营GitHub遭黑客劫持,是时候认真聊聊开源代码安全了

程序员大本营GitHub遭黑客劫持,是时候认真聊聊开源代码安全了

来源:香港服务器 作者:服务器租用 浏览量:56
2019-05-10
0

著名的“交友网站”GitHub是程序员的“大本营”,很多人都将源代码托管在上面,并不断利用社区开源资源开发新的算法、软件、应用。

这样一个极客云集的平台,居然被黑客给一窝端了,委实有点玄幻。

5月2日开始,GitHub遭到了黑客的攻击勒索,有370多名用户的源代码和信息被名为“gitb ackup”的账号删除。

黑客下载了那些代码,并存储到了自己的服务器上。要求他们往特定账户上支付0.1比特币。并进行了恶狠狠发威胁——“如果我们在未来10天内未收到您的付款,会将您的代码公开或以其他方式使用。”

花开两朵各表一枝,这边GitHub程序员忙着找代码, 隔壁微软的开源开发平台也不幸被黑客选中了。黑客擦除了其392个代码储存库,要求微软支付一定的款项才会归还窃取的数百个源代码。

对此,许多受害者认为,开源平台遭受攻击是其上开发的应用程序有漏洞,被黑客利用了。

那么,云服务器租用,有什么解决办法么?GitLab建议是,使用强密码降低被破解的风险,开启双重身份验证,使用SSH密钥等……

什么??全球顶尖程序员汇聚的平台,安全措施也这么原始吗?富土康流水线工人、村头王大爷的交友账号也都是这么提示的好吗?

不得不说,GitHub程序员被劫持事件给业界上了生动一课,提醒人们,而开源软件和组件的先天不足,可能给普通网民和企业安全带来巨大的风险,尤其是建造着数字网络的“工程师”也可能“打盹儿”的时候。

从GitHub说起:开源社区集体缺了一节“安全行驶课”

1998年,“开源”这一概念被首次提出,到2019年已经度过了20个春秋。凭借着开放、共享、自由等特性,开源平台在软件开发中扮演着越来越重要的角色。Gartner的一项调查显示,有99%的组织在其IT系统中使用了开源软件。

很多我们熟悉的日常软件功能,比如支付账单、娱乐社交、工作效率等等,有60-80%的代码库都来自开源社区。

前不久Snyk 公司发布的2019年开源安全现状调查报告也说明,开源项目的采用率正在以惊人的速度增长。仅是2018年,Java 工具包翻了一番,而 npm 增加了大约 250000 个新的工具包。

(每种语言其生态系统的新漏洞增长情况)

数字时代的进度条,因为开源而飞快加载。但步子迈得太大,也容易摔着。说到影响网络安全的最大掣肘,恐怕也要追溯到开源社区。

Snyk报告中提到,有37% 的开源开发者在持续集成(CI)期间没有实施任何类型的安全测试,54% 的开发者没有对 Docker 镜像进行任何安全测试。这也导致两年时间内,各大平台的应用程序漏洞数量增长了 88%。 GitHub上排名前40万的公共代码库中,仅2.4%有安全文档。而npm 和 Maven 中央仓库的安全隐患尤其严重,因为二者也是工具包数量增长最多的平台。

搞了半天开发者们都是在不系“安全带”的前提下超速飙车啊??话又说回来,漏洞的存在会带来多大的影响呢?

原本不需要这么紧张的,但在开源的情况下,事情就变得很不一样了。

因为当一个开源组件存在漏洞(通常称为CVE)时,这个漏洞会迅速公布。原本,开源可以让更多人及时发现漏洞,并对其执行必要的修复。不幸的是,一些图谋不轨的人也同样可以看到这些信息。

他们几乎不需要付出太多努力,就能了解哪些组件更容易受到攻击以及如何做。然后,找到哪些平台和公司可能会反应迟钝,在被修复之前黑掉他们的系统。

2018年4月,黑客就暴力破解了流行开源Magento电子商务平台的口令,利用拿到的访问权大肆搜刮信用卡记录并安装加密货币挖矿恶意软件。另外诸如著名的OpenSSL水牢漏洞事件、心脏滴血事件、Equifax数据泄露事件、Gmail、yahoo和Hotmail账号泄露等等,都是被黑客抢占了先机。

数据表明,如今开源平台漏洞出现到修复的时间,中位数几乎长达2年之久。这意味着,所有使用了那些漏洞代码或组件的软件用户,只是在黑客们的阴影还没来得及动手的“慈悲”下盲目而快乐地冲浪在网络。

那么问题来了,究竟是什么导致了程序员们如此“心大”,甚至不停地给黑客们“送人头”呢?

自欺欺人的“众人之眼”,与软件开发的三重门

显然,开源代码所谓的“众人之眼”,并不能有效地杜绝安全漏洞,至少不能保证在黑客降临之前消灭隐患。

部分文章来源与网络,若有侵权请联系站长删除!