程序员大本营GitHub遭黑客劫持，是时候认真聊聊开源代码安全了

著名的“交友网站”GitHub是程序员的“大本营”，很多人都将源代码托管在上面，并不断利用社区开源资源开发新的算法、软件、应用。

这样一个极客云集的平台，居然被黑客给一窝端了，委实有点玄幻。

5月2日开始，GitHub遭到了黑客的攻击勒索，有370多名用户的源代码和信息被名为“gitb ackup”的账号删除。

黑客下载了那些代码，并存储到了自己的服务器上。要求他们往特定账户上支付0.1比特币。并进行了恶狠狠发威胁——“如果我们在未来10天内未收到您的付款，会将您的代码公开或以其他方式使用。”

花开两朵各表一枝，这边GitHub程序员忙着找代码， 隔壁微软的开源开发平台也不幸被黑客选中了。黑客擦除了其392个代码储存库，要求微软支付一定的款项才会归还窃取的数百个源代码。

对此，许多受害者认为，开源平台遭受攻击是其上开发的应用程序有漏洞，被黑客利用了。

那么，有什么解决办法么?GitLab建议是，使用强密码降低被破解的风险，开启双重身份验证，使用SSH密钥等……

什么??全球顶尖程序员汇聚的平台，安全措施也这么原始吗?富土康流水线工人、村头王大爷的交友账号也都是这么提示的好吗?

不得不说，GitHub程序员被劫持事件给业界上了生动一课，提醒人们，开源软件和组件的先天不足，可能给普通网民和企业安全带来巨大的风险，尤其是建造着数字网络的“工程师”也可能“打盹儿”的时候。

从GitHub说起：开源社区集体缺了一节“安全行驶课”

1998年，“开源”这一概念被首次提出，到2019年已经度过了20个春秋。凭借着开放、共享、自由等特性，开源平台在软件开发中扮演着越来越重要的角色。Gartner的一项调查显示，有99%的组织在其IT系统中使用了开源软件。

很多我们熟悉的日常软件功能，比如支付账单、娱乐社交、工作效率等等，有60-80%的代码库都来自开源社区。

前不久Snyk 公司发布的2019年开源安全现状调查报告也说明，开源项目的采用率正在以惊人的速度增长。仅是2018年，Java 工具包翻了一番，而 npm 增加了大约 250000 个新的工具包。

(每种语言其生态系统的新漏洞增长情况)

数字时代的进度条，因为开源而飞快加载。但步子迈得太大，也容易摔着。说到影响网络安全的最大掣肘，恐怕也要追溯到开源社区。

Snyk报告中提到，有37% 的开源开发者在持续集成(CI)期间没有实施任何类型的安全测试，54% 的开发者没有对 Docker 镜像进行任何安全测试。这也导致两年时间内，各大平台的应用程序漏洞数量增长了 88%。 GitHub上排名前40万的公共代码库中，仅2.4%有安全文档。而npm 和 Maven 中央仓库的安全隐患尤其严重，因为二者也是工具包数量增长最多的平台。

搞了半天开发者们都是在不系“安全带”的前提下超速飙车啊??话又说回来，漏洞的存在会带来多大的影响呢?

原本不需要这么紧张的，但在开源的情况下，事情就变得很不一样了。

因为当一个开源组件存在漏洞(通常称为CVE)时，这个漏洞会迅速公布。原本，开源可以让更多人及时发现漏洞，并对其执行必要的修复。不幸的是，一些图谋不轨的人也同样可以看到这些信息。

他们几乎不需要付出太多努力，就能了解哪些组件更容易受到攻击以及如何做。然后，找到哪些平台和公司可能会反应迟钝，在被修复之前黑掉他们的系统。

2018年4月，黑客就暴力破解了流行开源Magento电子商务平台的口令，利用拿到的访问权大肆搜刮信用卡记录并安装加密货币挖矿恶意软件。另外诸如著名的OpenSSL水牢漏洞事件、心脏滴血事件、Equifax数据泄露事件、Gmail、yahoo和Hotmail账号泄露等等，都是被黑客抢占了先机。

数据表明，如今开源平台漏洞出现到修复的时间，中位数几乎长达2年之久。这意味着，所有使用了那些漏洞代码或组件的软件用户，只是在黑客们的阴影还没来得及动手的“慈悲”下盲目而快乐地冲浪在网络。

那么问题来了，究竟是什么导致了程序员们如此“心大”，甚至不停地给黑客们“送人头”呢?

自欺欺人的“众人之眼”，与软件开发的三重门

显然，开源代码所谓的“众人之眼”，并不能有效地杜绝安全漏洞，至少不能保证在黑客降临之前消灭隐患。

如今，开源代码爆出安全漏洞的事件还在不停发生，而很多项目并没有查找和修复问题的机制。这么一想，GitHub的程序员用户算是幸运多了，至少他们还能掏赎金把自己的代码买回来。而那些被盗走了信息的普通用户，也许只能成为黑客们的“肉鸡”了。

但问题是，如果我们吃了一家餐厅的食物而中毒了，那么可以起诉这家餐厅。但同样的逻辑在数字世界却不成立了。如果用户因为一个软件而中毒/被盗窃个人信息，他几乎没有办法找平台负责(参考Facebook隐私门)。而且软件开发商还会在用户许可协议中进行“免责”，要求用户同意不因为安全漏洞而起诉它。

为此，剑桥大学安全研究员Richard Clayton博士曾提出，要让软件开发商为可避免的安全漏洞带来的损失负起责任。欧盟官员也一度考虑，试图将开发人员的草率编码行为导致的恶意漏洞引入法律。但最终都不了了之。

微软是这么反驳的：软件公司也是(黑客/罪犯)入室抢劫的受害者，大众不能起诉门和窗户的制造商。

听起来是不是快要被说服了呢?打脸的是，在一个针对500多名开源项目维护者的调查中，清晰地展示了，只有30%不到三分之一的开源工程师具有较高的安全意识。这意味着，程序员和软件开发商并没有如大众期望的那样，将门和窗户建造的更牢固一点。

导致这一现象的，是一种蔓延在整个软件开发产业链上的“迷之自信”：

（编辑：核心网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!