ミネソタ大学のLinux禁止は、オープンソースについての質問を促します

一般に、ハッカーには2つのタイプがあります。コンピュータシステムに侵入して脆弱性を修正するハッカーと、弱点を悪用してデータを盗み、組織を人質にする犯罪者です。

次に、ミネソタ大学のコンピューターセキュリティを専門とする助教授であるKangjieLuがいます。 彼は最近、世界で最も有名なオープンソースソフトウェアシステムであるLinuxカーネルに意図的に脆弱性を作成したことで悪評を得ました。 彼がエクスプロイトに関する学術論文を発表した後、Linuxカーネルチームは大学を禁止し、以前の修正を元に戻しました。

意図的なLinuxカーネルの脆弱性

啓示は、オープンソースのセキュリティと、無数のデバイスとサーバーの基本的なコンポーネントであるOSカーネルに関する質問を促しました。 Luは、彼と大学院生がLinuxの膨大なソフトウェアコードリポジトリに提出したいくつかのマイナーな修正に脆弱性を埋め込み、プログラムを安全に保つために不可欠な共同作業方法を覆しました。

「彼らは悲惨なほど成功しました。2020年にToptalネットワークに参加したトロントを拠点とするプロジェクトマネージャーのAlexanderSeredaは言います。「彼らの悪意のあるコードは、この種の提出物を取り除くことになっているコミュニティの監視を通過しました。」

WindowsとmacOSがデスクトップを支配しているのに対し、LinuxベースのOSはサーバーとスーパーコンピューターで群を抜いて最も人気があり、GoogleはAndroid用のカーネルの修正バージョンを使用しています。 Red Hatのようなハイテクの巨人は、オープンソースを中心にエンタープライズソフトウェアビジネスを構築しており、長年にわたってオープンソースエコシステムの主要な敵と見なされていたMicrosoftでさえもやって来ました。2018年には、オープンソースの最大のホストであるGitHubを買収しました。ソースプロジェクト; 現在、LinuxディストリビューションはMicrosoftStoreで見つけることができます。

Linuxカーネルとオープンソースソフトウェアの普及は、愛好家や理想主義者から今日のソフトウェア市場の基礎へと進化していることを誇張するのは難しいことです。 開発者がふるいにかけるための文字通り何百万ものオープンソースプロジェクトがあり、それらは無料でほとんどの場合信頼できるため、商用アプリケーションの90％以上にそのようなコンポーネントが含まれています。 シリコン設計およびソフトウェアセキュリティ会社Synopsysの年次調査によると、この数字は増え続けています。

信頼できることは無料であることと同じくらい重要であり、オープンソースコミュニティは、プロプライエタリソフトウェアと同等かそれ以上のプログラムを提供することに誇りを持っています。 この運動は1990年代に、開発者であり作家でもあるエリック・レイモンドによって造られた、「十分な眼球があれば、すべてのバグは浅い」という中心的な信条を持って登場しました。 そのオープンソースは、これまでのところ比較的無傷で生き残っています。たとえ世界がハッキングやランサムウェアの前例のない流行と闘っているとしても、そのようなオープンコラボレーションが依然として効果的である可能性があることをさらに確認するだけです。

しかし、Luが彼の研究で示したように、Linuxカーネルのように重要で綿密に監視されているものであっても、完全なセキュリティはありません。 安全なコードを書くのは簡単ですが、事後にコードの脆弱性を見つけるのは非常に難しい場合があります。「お茶をかき混ぜた後にミルクを取り除くなど」とセレダ氏は言います。 オープンソースは一般的に見事に機能していますが、2014年に発生したHeartbleedバグのようないくつかの重大な問題は別として、開発者が自由ソフトウェアを自分たちに組み込むときにあまりにも多くのショートカットを取っているという証拠が増えています。製品。

オープンソースのセキュリティリスク

Synopsysは、2021年の年次報告書で、監査したマーケティングテクノロジー業界のすべての企業がコードベースにオープンソースを持っており、それらのコードベースの95％に脆弱性が含まれていることを明らかにしています。 ヘルスケアセクター、金融サービスセクター、小売および電子商取引業界を見ると、同様の結果が得られました。 結果が悪い理由はいくつかありますが、その主な理由は、ソフトウェアがますます複雑になり、コンポーネントの追跡と監視が難しくなることです。

オープンソースはプロプライエタリ製品よりもはるかに優れたセキュリティ記録を持っていますが、それが常に最高の品質になることを保証するものではありません、と2021年にToptalのネットワークに参加したフリーランスのフルスタック開発者であるSamWatkinsは言います。問題、それは過度に複雑なプログラムです。 悪意によるものではありませんが、安全ではありません。」

問題は、必ずしもオープンソースがオープンすぎるということではありません。 SynopsysのプリンシパルセキュリティストラテジストであるTimothyMackeyは、ソフトウェアサイクルが縮小し続けても、コミュニティにパッチをプッシュするベンダーは1社もないため、このギャップが続くと述べています。 予算が厳しいため、プログラマーは、品質ではなく人気によって、単純な評価システムなどの不完全なショートカットを使用してコンポーネントを選択する必要があります。 Openbase、Stack Builder、GitHubで最も人気のあるプロジェクトを強調するOpen Source Indexなど、プログラマーにショートカットを提供するサービスは複数あります。

オープンソースの脆弱性の管理

プログラマーや学者によると、これらのオープンソースの評価システムには価値がありますが、最適と思われるコンポーネントを取得するだけでなく、オプションを評価する際には、より多くの検証と検討が必要です。 各組織は、必要なサポートの量と直面するリスクを考慮してソフトウェアを慎重に選択するための原則を含む一連のベストプラクティスを確立する必要があります。 企業はまた、すべてのオープンソースコンポーネントを追跡し、頻繁に更新する必要があります。

専門家が検討のために特定したその他のベストプラクティスには、次のものがあります。

• 自動化を使用し、プロセスを検証し、すべてを文書化し、Gitを使用してコードベースの変更を追跡します。
• 重要な協力者になる可能性のあるオープンソースに不慣れな人々を支援するなど、前向きなコミュニティを作成します。
• すべてのオープンソースサプライチェーンを監査可能に保つ。
• ホストOSのカーネルを共有するオープンソースコンテナを使用する。
• 最も重要なオープンソースコンポーネントを特定し、セキュリティの問題を追跡し、開発者と協力し、パッチと資金の両方でアップストリームプロジェクトに貢献します。

カルガリー大学のシューリック工学部の助教授であるAnnBarcombは、理想的には、ソフトウェアが勝手に選択されないように、組織は一連のベストプラクティスを使用して事前承認された製品のライブラリを構築する必要があると付け加えています。 しかし、彼女は、このプロセスには時間がかかり、費用がかかり、広く実践されていないことを認めています。

「より多くのセキュリティが必要ですが、そのセキュリティには莫大な代償が伴います」と、2021年にToptalに加わったフリーランスのバックエンド開発者であるAyushPoddarは言います。

Black Duck、Sonatype、Snyk、WhiteSourceなどのプラットフォームは、コンピュータープログラムのスタック内のオープンソースコンポーネントを見つけて脆弱性を特定するのに役立つ自動化を提供します。 それでも、これらのツールは制限されており、コードパッチに対応することは、さらに悪化しているもう1つの問題です。米国のサイバーセキュリティ＆インフラストラクチャセキュリティエージェンシーは、週に数百の新しいソフトウェアの脆弱性を報告することがよくあります。

「コードの各ビットを実行する方法のすべての組み合わせをテストすることはできません」と、CATechnologiesでITアーキテクチャとエンジニアリングを監督した退職した技術エグゼクティブであるAidanMcManusは言います。 「それは何年もかかるでしょう。」

ミネソタ大学のコンピュータ科学工学部長であるMatsHeimdahlは、Kangjieと彼の研究者は、提出したバグとは別の、カーネル内の多数の不良パッチも発見したと述べています。 「私の見解では、過労で過小評価されているボランティアによる手動のレビュープロセスは（非常に熟練した献身的なメンテナによってさえ）必然的に不完全になることは明らかです」とHeimdahlは電子メールで書いています。

脆弱性が増大しているという事実は、オープンソースがどのように管理されるかについての根本的な疑問を提起します。 イノベーションを加速する一方で、本質的には共有リソースであり、消費者に年間600億ドルを節約し、開発コストを削減することで企業の利益を増やす、自由に使用できるソフトウェアの膨大なライブラリです。 フリーライダーが多すぎて、維持とセキュリティに十分なリソースが投入されていない可能性があります。

ミネソタ大学のLinuxカーネル禁止：学んだ限界

修正の検証が変更されたことを示すものは何もありませんが、Linux Foundationは、カーネルを使用する研究者向けの一連のベストプラクティスを確立しており、ミネソタ大学が提出物のレビュー担当者を任命することを推奨しています。 コードレビューに代わるものは実際にはなく、現在のコミュニティは悪意のあるコードを排除するという合理的な仕事をしています、とBarcombは言います。 知識労働に必要な自律性を考えると、「あなたができる最善のことは、信頼違反を特定し、それに応じて対応するためのプロセスを整えることです。最良の場合、変更が組み込まれる前に」と彼女は言います。

ヘイムダルは、彼の機関が、禁止が解除されるのを待っている間、パッチの提出について助言する委員会を組織していると述べています。

Linuxはかつては部外者のアイデアであり、プロプライエタリソフトウェアについての従来の考え方に対する大胆な対位法でしたが、商用プロジェクトのように見えるものに進化しました。 Huawei、Intel、およびRed Hatは、Linuxカーネルにコードを定期的に提供している何百もの企業をリードしています。 これらの企業の多くは、LinuxFoundationやオープンソースイニシアチブの関連会社にも資金を提供していますが、今後のセキュリティの向上を支援するために、ソフトウェアをサポートするためのより体系的なアプローチが必要になる可能性があります。重要なオープンソースシステム。

「人々は、オープンソースが機能することを当然のことと思っています」と、レンセラー工科大学の上級講師であるクリストファー・トッツィは言います。 「これらの問題について実際に考えていないまったく新しい世代の人々がいます。」