미네소타 대학교 Linux 금지는 오픈 소스에 대한 질문을 제기합니다

일반적으로 두 가지 유형의 해커가 있습니다. 취약점을 수정하기 위해 컴퓨터 시스템에 침입하여 취약점을 찾는 사람과 데이터를 훔치고 조직을 인질로 잡기 위해 약점을 악용하는 범죄자입니다.

다음은 컴퓨터 보안을 전문으로 하는 미네소타 대학의 조교수인 Kangjie Lu입니다. 그는 최근 세계에서 가장 유명한 오픈 소스 소프트웨어 시스템인 Linux 커널에서 의도적으로 취약점을 만든 것으로 유명해졌습니다. 그가 그의 익스플로잇에 대한 학술 논문을 발표한 후, Linux 커널 팀은 대학을 금지하고 이전 수정 사항을 되돌렸습니다.

의도적인 Linux 커널 취약점

이 폭로는 오픈 소스 보안과 수많은 장치와 서버의 기본 구성 요소인 OS 커널에 대한 질문이 제기되었습니다. Lu는 그와 대학원생이 Linux의 방대한 소프트웨어 코드 저장소에 제출한 몇 가지 사소한 수정 사항에 취약점을 숨겼으며, 이는 프로그램을 안전하게 유지하는 데 필수적인 공동 작업 방식을 전복시켰습니다.

2020년 Toptal 네트워크에 합류한 토론토의 프로젝트 관리자 Alexander Sereda는 "그들은 비참할 정도로 성공적이었습니다. 그들의 악성 코드는 이러한 종류의 제출물을 제거해야 하는 커뮤니티 감독을 통과했습니다."라고 말했습니다.

Windows와 macOS가 데스크톱을 지배하는 반면 Linux 기반 OS는 단연코 서버와 슈퍼컴퓨터에 가장 많이 사용되며 Google은 Android용 커널의 수정된 버전을 사용합니다. Red Hat과 같은 거대 기술 기업은 오픈 소스를 기반으로 엔터프라이즈 소프트웨어 비즈니스를 구축했으며, 수년 동안 오픈 소스 생태계의 주요 반대자로 여겨졌던 Microsoft까지 등장했습니다. 2018년에는 가장 큰 오픈 소스 호스트인 GitHub를 인수했습니다. 소스 프로젝트; 현재 Linux 배포판은 Microsoft Store에서 찾을 수 있습니다.

취미 애호가와 이상주의자에서 오늘날 소프트웨어 시장의 초석으로 진화하는 Linux 커널과 오픈 소스 소프트웨어의 보급은 아무리 강조해도 지나치지 않습니다. 말 그대로 개발자가 검토할 수 있는 수백만 개의 오픈 소스 프로젝트가 있으며, 무료이고 대부분 신뢰할 수 있기 때문에 상용 응용 프로그램의 90% 이상이 이러한 구성 요소를 포함합니다. 실리콘 설계 및 소프트웨어 보안 회사인 Synopsys의 연례 연구에 따르면 이 수치는 계속 증가하고 있습니다.

신뢰할 수 있는 것은 무료인 것만큼이나 중요하며 오픈 소스 커뮤니티는 독점 소프트웨어보다 낫지는 않더라도 동등한 프로그램을 제공하는 데 자부심을 느낍니다. 이 운동은 1990년대에 개발자이자 작가인 Eric Raymond가 만든 "충분한 안구만 있으면 모든 버그는 얕다"는 핵심 신조로 등장했습니다. 전 세계가 해킹과 랜섬웨어의 전례 없는 전염병과 싸우고 있음에도 불구하고 오픈 소스가 상대적으로 손상되지 않고 지금까지 살아남았다는 것은 그러한 공개 협업이 여전히 효과적일 수 있다는 추가 확인일 뿐입니다.

그러나 Lu가 그의 연구에서 보여준 것처럼 Linux 커널만큼 중요하고 면밀하게 모니터링되는 보안에서도 완벽한 보안은 없습니다. 보안 코드를 작성하는 것은 간단할 수 있지만 사실 이후에 코드에서 취약점을 찾는 것은 매우 어려울 수 있습니다. "차를 섞은 후 우유를 제거하는 것과 같이"라고 Sereda는 말합니다. 오픈 소스는 2014년에 나타난 Heartbleed 버그와 같은 몇 가지 중대한 문제를 제외하고 일반적으로 훌륭하게 수행되었지만 개발자가 자유 소프트웨어를 자신의 소프트웨어에 통합할 때 너무 많은 지름길을 선택한다는 증거가 늘어나고 있습니다. 제품.

오픈 소스 보안 위험

Synopsys는 2021년 연례 보고서에서 감사를 받은 마케팅 기술 업계의 모든 회사가 코드베이스에 오픈 소스를 갖고 있으며 해당 코드베이스의 95%에 취약점이 있다고 밝혔습니다. 헬스케어 업종, 금융서비스 업종, 유통·전자상거래 업종에서도 비슷한 결과를 보였다. 결과가 좋지 않은 데는 여러 가지 이유가 있지만 그 중 가장 큰 이유는 소프트웨어가 계속 복잡해지고 있고 구성 요소를 추적하고 모니터링하기가 점점 더 어려워지기 때문입니다.

2021년에 Toptal의 네트워크에 합류한 프리랜스 풀 스택 개발자인 Sam Watkins는 오픈 소스가 독점 제품보다 훨씬 더 나은 보안 기록을 가지고 있지만 이것이 항상 최고의 품질을 보장하지는 않는다고 말합니다. 문제는 지나치게 복잡한 프로그램입니다. 악의적인 의도는 아니지만 안전하지 않습니다.”

그렇다면 문제는 반드시 오픈 소스가 너무 공개되어 있다는 것이 아닙니다. Synopsys의 수석 보안 전략가인 Timothy Mackey는 소프트웨어 주기가 계속 줄어들고 있음에도 불구하고 커뮤니티에 패치를 제공하는 공급업체가 없기 때문에 격차가 지속된다고 말합니다. 빡빡한 예산으로 인해 프로그래머는 단순한 평가 시스템과 같은 불완전한 지름길을 사용하여 품질보다는 인기도에 따라 구성 요소를 선택해야 합니다. Openbase, Stack Builder 및 GitHub에서 가장 인기 있는 프로젝트를 강조 표시하는 Open Source Index를 포함하여 프로그래머에게 이러한 바로 가기를 제공하는 여러 서비스가 있습니다.

오픈 소스 취약점 관리

프로그래머와 학계에 따르면 이러한 오픈 소스 평가 시스템에는 가치가 있지만 가장 잘 어울리는 것처럼 보이는 구성 요소를 잡는 것보다 옵션을 평가할 때 더 많은 검증과 고려가 필요합니다. 각 조직은 필요한 지원의 양과 직면한 위험을 고려하여 소프트웨어를 신중하게 선택하기 위한 원칙을 포함하는 일련의 모범 사례를 수립해야 합니다. 회사는 또한 모든 오픈 소스 구성 요소를 추적하고 자주 업데이트해야 합니다.

당사 전문가가 고려 대상으로 식별한 기타 모범 사례는 다음과 같습니다.

• 자동화를 사용하고, 프로세스를 확인하고, 모든 것을 문서화하고, Git을 사용하여 코드베이스 변경 사항을 추적합니다.
• 중요한 협력자가 될 수 있는 오픈 소스를 처음 접하는 사람들을 돕는 것을 포함하여 긍정적인 커뮤니티를 만듭니다.
• 모든 오픈 소스 공급망을 감사 가능한 상태로 유지합니다.
• 호스트 OS의 커널을 공유하는 오픈 소스 컨테이너 사용.
• 가장 중요한 오픈 소스 구성 요소를 식별한 다음 보안 문제를 추적하고 개발자와 협력하고 패치와 자금 지원을 통해 업스트림 프로젝트에 다시 기여합니다.

캘거리 대학교 슐리히 공과 대학의 조교수인 앤 바콤은 이상적으로는 조직이 일련의 모범 사례를 사용하여 사전 승인된 제품 라이브러리를 구축하여 소프트웨어가 임의로 선택되지 않도록 해야 한다고 덧붙입니다. 그러나 그녀는 이 과정이 시간이 많이 걸리고 비용이 많이 들고 널리 시행되지 않는다는 점을 인정합니다.

2021년 Toptal에 합류한 프리랜스 백엔드 개발자인 Ayush Poddar는 "더 많은 보안을 원하지만 그 보안에는 엄청난 대가가 따릅니다.

Black Duck, Sonatype, Snyk 및 WhiteSource와 같은 플랫폼은 컴퓨터 프로그램 스택에서 오픈 소스 구성 요소를 찾고 취약점을 식별하는 데 도움이 되는 자동화를 제공합니다. 그러나 이러한 도구는 제한적이며 코드 패치를 유지하는 것은 점점 더 악화되고 있는 또 다른 문제입니다. 미국 사이버 보안 및 인프라 보안국은 종종 매주 수백 개의 새로운 소프트웨어 취약점을 보고합니다.

CA Technologies에서 IT 아키텍처 및 엔지니어링을 감독한 은퇴한 기술 임원인 Aidan McManus는 "각 코드 비트가 실행될 수 있는 방법의 모든 조합을 테스트할 수는 없습니다."라고 말합니다. "몇 년이 걸릴 것입니다."

미네소타 대학의 컴퓨터 과학 및 공학부의 책임자인 Mats Heimdahl은 Kangjie와 그의 연구원들이 제출한 버그와 별개인 커널에서 수많은 불량 패치를 발견했다고 말했습니다. Heimdahl은 이메일에서 "내 생각에는 과로하고 과소 평가된 자원 봉사자(심지어 매우 숙련되고 헌신적인 유지 관리 담당자라도)의 수동 검토 프로세스가 불가피하게 불완전할 것이 분명합니다."라고 썼습니다.

취약점이 증가하고 있다는 사실은 오픈 소스가 어떻게 관리될 것인지에 대한 근본적인 질문을 제기합니다. 혁신을 가속화하는 동시에 본질적으로 공유 리소스, 즉 소비자에게 연간 600억 달러를 절약하고 개발 비용을 절감함으로써 기업의 이익을 증가시키는 무료 사용 소프트웨어의 방대한 라이브러리입니다. 무임 승차자가 너무 많아 유지 및 보안에 투입되는 리소스가 충분하지 않을 수 있습니다.

미네소타 대학교 Linux 커널 금지: 배운 한계

수정 사항에 대한 심사가 변경되었음을 나타내는 것은 없지만 Linux Foundation은 커널을 사용하는 연구원을 위한 일련의 모범 사례를 수립하고 있으며 University of Minnesota에서 제출에 대한 검토자를 지정할 것을 권장했습니다. Barcomb은 실제로 코드 검토에 대한 대안이 없으며 현재 커뮤니티에서 악성 코드를 차단하는 합리적인 작업을 수행하고 있다고 말합니다. 지식 작업에 필요한 자율성을 감안할 때 "당신이 할 수 있는 최선은 신뢰 위반을 식별하고 그에 따라 대응하는 프로세스를 갖추는 것입니다. 최선의 경우 변경 사항이 통합되기 전에 말이죠."

Heimdahl은 그의 기관이 금지 조치가 해제되기를 기다리는 동안 패치 제출에 대해 조언하기 위해 위원회를 조직하고 있다고 말합니다.

Linux는 한때 외부인의 아이디어였으며 독점 ​​소프트웨어에 대한 전통적인 생각에 대담한 대조를 이루었지만, 이제는 훨씬 더 상업적인 프로젝트처럼 보이는 것으로 발전했습니다. Huawei, Intel 및 Red Hat은 정기적으로 Linux 커널에 코드를 제공하는 수백 개의 회사를 이끌고 있습니다. 이들 회사 중 다수는 또한 Linux Foundation 및 Open Source Initiative의 계열사에 돈을 기부하지만, 앞으로 보안을 개선하는 데 도움이 되도록 소프트웨어를 지원하는 보다 체계적인 접근 방식이 필요할 수 있습니다. 중요한 오픈 소스 시스템.

Rensselaer Polytechnic Institute의 선임 강사인 Christopher Tozzi는 “사람들은 오픈 소스가 작동하는 것을 당연하게 여깁니다. "이러한 문제에 대해 실제로 생각하지 않은 완전히 새로운 세대의 사람들이 있습니다."