การแบน Linux ของมหาวิทยาลัยมินนิโซตาพร้อมท์คำถามเกี่ยวกับโอเพ่นซอร์ส

โดยทั่วไปมีแฮ็กเกอร์สองประเภท: ผู้ที่เจาะระบบคอมพิวเตอร์เพื่อค้นหาช่องโหว่เพื่อแก้ไขและอาชญากรที่ใช้ประโยชน์จากจุดอ่อนเพื่อขโมยข้อมูลและจับองค์กรเป็นตัวประกัน

แล้วมีคังเจีย ลู่ ผู้ช่วยศาสตราจารย์แห่งมหาวิทยาลัยมินนิโซตา ซึ่งเชี่ยวชาญด้านการรักษาความปลอดภัยคอมพิวเตอร์ เขาได้รับความอื้อฉาวเมื่อเร็ว ๆ นี้จากการสร้างช่องโหว่ในระบบซอฟต์แวร์โอเพ่นซอร์สที่โดดเด่นที่สุดในโลกอย่างเคอร์เนล Linux หลังจากที่เขาตีพิมพ์บทความวิชาการเกี่ยวกับการหาประโยชน์ของเขาแล้ว ทีมเคอร์เนลของ Linux ก็สั่งห้ามมหาวิทยาลัยและยกเลิกการแก้ไขก่อนหน้านี้

ช่องโหว่เคอร์เนลลินุกซ์โดยเจตนา

การเปิดเผยดังกล่าวทำให้เกิดคำถามเกี่ยวกับการรักษาความปลอดภัยแบบโอเพนซอร์สและเคอร์เนล OS ซึ่งเป็นองค์ประกอบพื้นฐานของอุปกรณ์และเซิร์ฟเวอร์จำนวนนับไม่ถ้วน Lu ฝังช่องโหว่ในการแก้ไขเล็กน้อยบางอย่างที่เขาและนักศึกษาระดับบัณฑิตศึกษาได้ส่งไปยังที่เก็บโค้ดซอฟต์แวร์ขนาดใหญ่ของ Linux ซึ่งล้มล้างวิธีการทำงานร่วมกันซึ่งจำเป็นต่อการรักษาความปลอดภัยของโปรแกรม

Alexander Sereda ผู้จัดการโครงการในโตรอนโตที่เข้าร่วมเครือข่าย Toptal ในปี 2020 กล่าวว่า “พวกเขาประสบความสำเร็จอย่างน่าใจหาย” “รหัสที่เป็นอันตรายของพวกเขาผ่านการกำกับดูแลของชุมชนซึ่งควรจะกำจัดการส่งประเภทนี้ออกไป”

แม้ว่า Windows และ macOS จะครองเดสก์ท็อป แต่ระบบปฏิบัติการที่ใช้ Linux นั้นเป็นที่นิยมมากที่สุดสำหรับเซิร์ฟเวอร์และซูเปอร์คอมพิวเตอร์ และ Google ใช้เคอร์เนลเวอร์ชันดัดแปลงสำหรับ Android ยักษ์ใหญ่ด้านเทคโนโลยีอย่าง Red Hat ได้สร้างธุรกิจซอฟต์แวร์สำหรับองค์กรของตนโดยใช้โอเพ่นซอร์ส และแม้แต่ Microsoft ซึ่งถูกมองว่าเป็นคู่แข่งสำคัญของระบบนิเวศโอเพนซอร์ซมาหลายปีแล้วก็ตาม โดยในปี 2018 บริษัทได้ซื้อ GitHub ซึ่งเป็นโฮสต์โอเพ่นซอร์สที่ใหญ่ที่สุด โครงการต้นทาง วันนี้ ลีนุกซ์ดิสทริบิวชันสามารถพบได้ใน Microsoft Store

เป็นการยากที่จะพูดเกินจริงถึงความแพร่หลายของเคอร์เนลลินุกซ์และซอฟต์แวร์โอเพ่นซอร์ส พัฒนาจากสิ่งของของมือสมัครเล่นและอุดมคติไปสู่รากฐานที่สำคัญของตลาดซอฟต์แวร์ในปัจจุบัน มีโปรเจ็กต์โอเพนซอร์ซหลายล้านโปรเจ็กต์ให้นักพัฒนาต้องกลั่นกรอง และเนื่องจากเป็นโปรเจ็กต์ฟรีและส่วนใหญ่เชื่อถือได้ แอปพลิเคชันเชิงพาณิชย์มากกว่า 90% จึงมีส่วนประกอบดังกล่าว ตัวเลขดังกล่าวยังคงเพิ่มขึ้นเรื่อยๆ จากการศึกษาประจำปีของ Synopsys บริษัทออกแบบซิลิกอนและซอฟต์แวร์รักษาความปลอดภัยซอฟต์แวร์

ความน่าเชื่อถือมีความสำคัญพอๆ กับการเป็นอิสระ และชุมชนโอเพ่นซอร์สภาคภูมิใจในการนำเสนอโปรแกรมที่เทียบเท่ากับซอฟต์แวร์ที่เป็นกรรมสิทธิ์ การเคลื่อนไหวดังกล่าวเกิดขึ้นในปี 1990 โดยมีหลักการสำคัญ ซึ่งก่อตั้งโดย Eric Raymond ผู้พัฒนาและนักเขียนว่า “เมื่อให้ลูกตาเพียงพอ แมลงทั้งหมดก็ตื้น” โอเพ่นซอร์สนั้นรอดมาได้แม้ในขณะที่โลกกำลังเผชิญกับการระบาดของการแฮ็กและแรนซัมแวร์อย่างไม่เคยปรากฏมาก่อน เป็นเพียงการยืนยันเพิ่มเติมว่าการทำงานร่วมกันแบบเปิดดังกล่าวยังคงมีประสิทธิภาพอยู่

แต่ตามที่ Lu แสดงให้เห็นในการวิจัยของเขา ไม่มีความปลอดภัยใดที่สมบูรณ์แบบ แม้แต่ในบางสิ่งที่สำคัญและได้รับการตรวจสอบอย่างใกล้ชิดเหมือนเคอร์เนลของ Linux แม้ว่าการเขียนโค้ดที่ปลอดภัยจะเป็นเรื่องที่ตรงไปตรงมา แต่การค้นหาช่องโหว่ในโค้ดหลังจากข้อเท็จจริงนั้นอาจเป็นเรื่องยากอย่างเหลือเชื่อ—“เหมือนกับการนำนมออกจากชาของคุณหลังจากที่ดื่มเข้าไปแล้ว” Sereda กล่าว แม้ว่าโอเพ่นซอร์สโดยทั่วไปจะทำงานได้อย่างน่าชื่นชม นอกเหนือไปจากอาการสะอึกที่สำคัญสองสามอย่าง เช่น บั๊ก Heartbleed ที่เกิดขึ้นในปี 2014 ยังมีหลักฐานจำนวนมากขึ้นเรื่อยๆ ว่านักพัฒนาซอฟต์แวร์ใช้ทางลัดมากเกินไปเมื่อรวมซอฟต์แวร์ฟรีเข้ากับซอฟต์แวร์ของตน สินค้า.

ความเสี่ยงด้านความปลอดภัยโอเพ่นซอร์ส

ในรายงานประจำปี 2564 Synopsys เปิดเผยว่าทุกบริษัทในอุตสาหกรรมเทคโนโลยีการตลาดที่ตรวจสอบมีโอเพนซอร์สในฐานรหัสของตน และ 95% ของฐานรหัสเหล่านั้นมีช่องโหว่ พบผลลัพธ์ที่คล้ายคลึงกันเมื่อดูที่ภาคการดูแลสุขภาพ ภาคบริการทางการเงิน และอุตสาหกรรมการค้าปลีกและอีคอมเมิร์ซ มีเหตุผลหลายประการสำหรับผลลัพธ์ที่ไม่ดี แต่ที่สำคัญที่สุดคือซอฟต์แวร์นั้นซับซ้อนขึ้นเรื่อยๆ และการติดตามและตรวจสอบส่วนประกอบทำได้ยากขึ้น

โอเพ่นซอร์สมีประวัติด้านความปลอดภัยที่ดีกว่าผลิตภัณฑ์ที่เป็นกรรมสิทธิ์ แต่นั่นไม่ได้รับประกันว่าจะมีคุณภาพดีที่สุดเสมอไป Sam Watkins นักพัฒนาอิสระฟูลสแตกที่เข้าร่วมเครือข่ายของ Toptal ในปี 2564 กล่าว "เรามีที่ใหญ่กว่ามาก ปัญหาซึ่งเป็นโปรแกรมที่ซับซ้อนเกินไป มันไม่ปลอดภัยแม้ว่าจะไม่ได้มาจากเจตนาร้ายก็ตาม”

ปัญหาไม่จำเป็นว่าโอเพ่นซอร์สนั้นเปิดกว้างเกินไป Timothy Mackey นักยุทธศาสตร์ด้านความปลอดภัยหลักของ Synopsys กล่าวว่าช่องว่างนี้เป็นช่องว่างที่ยังคงมีอยู่ เนื่องจากไม่มีผู้จำหน่ายรายใดออกแพตช์สำหรับชุมชน แม้ว่าวงจรของซอฟต์แวร์จะหดตัวลง งบประมาณที่จำกัดบังคับให้โปรแกรมเมอร์ใช้ทางลัดที่ไม่สมบูรณ์ เช่น ระบบการให้คะแนนแบบง่าย เพื่อเลือกส่วนประกอบ—ตามความนิยม มากกว่าคุณภาพ มีบริการหลายอย่างที่เสนอทางลัดให้กับโปรแกรมเมอร์ เช่น Openbase, Stack Builder และ Open Source Index ซึ่งเน้นโครงการที่ได้รับความนิยมสูงสุดบน GitHub

การจัดการช่องโหว่โอเพ่นซอร์ส

ตามคำบอกของโปรแกรมเมอร์และนักวิชาการ แม้ว่าระบบการให้คะแนนแบบโอเพนซอร์สจะมีคุณค่า แต่ตัวเลือกการชั่งน้ำหนักจะต้องมีการตรวจสอบความถูกต้องและการพิจารณาที่มากกว่า แทนที่จะเพียงแค่จับส่วนประกอบที่ดูเหมือนจะเข้ากันได้ดีที่สุด แต่ละองค์กรควรจัดทำชุดแนวทางปฏิบัติที่ดีที่สุดซึ่งรวมถึงหลักการในการเลือกซอฟต์แวร์อย่างรอบคอบโดยคำนึงถึงปริมาณการสนับสนุนที่จำเป็นและความเสี่ยงที่ต้องเผชิญ บริษัทต่างๆ ควรติดตามและอัปเดตส่วนประกอบโอเพนซอร์ซทั้งหมดบ่อยครั้ง

แนวทางปฏิบัติที่ดีที่สุดอื่นๆ ที่ผู้เชี่ยวชาญระบุเพื่อการพิจารณา ได้แก่:

• ใช้ระบบอัตโนมัติ ตรวจสอบกระบวนการ จัดทำเอกสารทุกอย่าง และใช้ Git เพื่อติดตามการเปลี่ยนแปลงของ Codebase
• การสร้างชุมชนเชิงบวก รวมถึงการช่วยเหลือผู้คนที่เพิ่งเริ่มใช้โอเพ่นซอร์สซึ่งอาจเป็นผู้ทำงานร่วมกันที่สำคัญ
• ทำให้ห่วงโซ่อุปทานโอเพนซอร์สทั้งหมดสามารถตรวจสอบได้
• การใช้คอนเทนเนอร์โอเพ่นซอร์สที่แชร์เคอร์เนลของระบบปฏิบัติการโฮสต์
• ระบุส่วนประกอบโอเพนซอร์ซที่สำคัญที่สุด จากนั้นติดตามปัญหาด้านความปลอดภัย มีส่วนร่วมกับนักพัฒนา และสนับสนุนโครงการต้นน้ำด้วยแพตช์และเงินทุน

Ann Barcomb ผู้ช่วยศาสตราจารย์จาก Schulich School of Engineering ของ University of Calgary กล่าวเสริมว่า ตามหลักการแล้วองค์กรต่างๆ ควรใช้แนวปฏิบัติที่ดีที่สุดเพื่อสร้างไลบรารีของผลิตภัณฑ์ที่ได้รับการอนุมัติล่วงหน้า เพื่อไม่ให้ซอฟต์แวร์ถูกเลือกโดยพลการ อย่างไรก็ตาม เธอรับทราบว่ากระบวนการนี้ใช้เวลานาน มีค่าใช้จ่ายสูง และไม่ได้รับการฝึกฝนอย่างกว้างขวาง

“คุณต้องการความปลอดภัยมากขึ้น แต่การรักษาความปลอดภัยนั้นมีราคาสูง” Ayush Poddar นักพัฒนาแบ็คเอนด์อิสระที่เข้าร่วม Toptal ในปี 2564 กล่าว

แพลตฟอร์มเช่น Black Duck, Sonatype, Snyk และ WhiteSource มีระบบอัตโนมัติเพื่อช่วยค้นหาส่วนประกอบโอเพนซอร์ซในสแต็กของโปรแกรมคอมพิวเตอร์และระบุช่องโหว่ อย่างไรก็ตาม เครื่องมือเหล่านี้มีจำกัด และการติดตามแก้ไขโค้ดก็เป็นอีกปัญหาหนึ่งที่แย่ลงไปอีก — US Cybersecurity & Infrastructure Security Agency มักจะรายงานช่องโหว่ของซอฟต์แวร์ใหม่หลายร้อยรายการต่อสัปดาห์

Aidan McManus ผู้บริหารด้านเทคโนโลยีที่เกษียณอายุแล้ว ซึ่งดูแลสถาปัตยกรรมไอทีและวิศวกรรมของ CA Technologies กล่าวว่า "คุณไม่สามารถทดสอบทุกส่วนผสมของโค้ดแต่ละบิตได้ “มันต้องใช้เวลาหลายปี”

Mats Heimdahl หัวหน้าภาควิชาวิทยาการคอมพิวเตอร์และวิศวกรรมของ University of Minnesota ตั้งข้อสังเกตว่า Kangjie และนักวิจัยของเขายังพบจุดบกพร่องจำนวนมากในเคอร์เนลที่แยกจากจุดบกพร่องที่พวกเขาส่งมา “ในความเห็นของฉัน ค่อนข้างชัดเจนว่ากระบวนการตรวจสอบด้วยตนเองโดยอาสาสมัครที่ทำงานหนักเกินไปและไม่ได้รับการชื่นชม (แม้โดยผู้ดูแลที่มีทักษะและทุ่มเทอย่างยิ่ง) จะไม่สมบูรณ์อย่างหลีกเลี่ยงไม่ได้” Heimdahl เขียนในอีเมล

ความจริงที่ว่าช่องโหว่นั้นเพิ่มขึ้นทำให้เกิดคำถามพื้นฐานเกี่ยวกับวิธีการจัดการโอเพ่นซอร์ส ในขณะที่เร่งนวัตกรรมให้เร็วขึ้น แต่โดยพื้นฐานแล้วมันคือทรัพยากรที่ใช้ร่วมกัน ไลบรารีซอฟต์แวร์ขนาดใหญ่ที่ใช้งานได้ฟรี ซึ่งช่วยประหยัดผู้บริโภคได้ 6 หมื่นล้านดอลลาร์ต่อปี และยังเพิ่มผลกำไรให้กับบริษัทด้วยการลดต้นทุนการพัฒนา อาจมีผู้ขี่ฟรีมากเกินไปโดยมีทรัพยากรไม่เพียงพอสำหรับการบำรุงรักษาและความปลอดภัย

แบนเคอร์เนลลินุกซ์ของมหาวิทยาลัยมินนิโซตา: เรียนรู้ข้อ จำกัด

แม้ว่าจะไม่มีอะไรบ่งบอกว่าการตรวจสอบการแก้ไขมีการเปลี่ยนแปลง แต่มูลนิธิ Linux กำลังสร้างชุดแนวทางปฏิบัติที่ดีที่สุดสำหรับนักวิจัยที่ทำงานกับเคอร์เนล และแนะนำให้มหาวิทยาลัยมินนิโซตาแต่งตั้งผู้ตรวจสอบเพื่อยื่นเสนอ ไม่มีทางเลือกอื่นนอกจากการตรวจสอบโค้ด และตอนนี้ชุมชนกำลังทำงานอย่างสมเหตุสมผลในการกำจัดโค้ดที่เป็นอันตราย Barcomb กล่าว ด้วยความเป็นอิสระที่จำเป็นสำหรับงานความรู้ เธอกล่าวว่า "สิ่งที่ดีที่สุดที่คุณสามารถทำได้คือมีกระบวนการในการระบุการละเมิดความไว้วางใจและตอบสนองในกรณีที่ดีที่สุดก่อนที่จะรวมการเปลี่ยนแปลง"

Heimdahl ตั้งข้อสังเกตว่าสถาบันของเขากำลังจัดตั้งคณะกรรมการเพื่อให้คำแนะนำเกี่ยวกับการส่งโปรแกรมแก้ไขในขณะที่รอการยกเลิกคำสั่งห้าม

ลินุกซ์เคยเป็นความคิดของคนนอก เป็นจุดหักเหที่ชัดเจนในการคิดแบบดั้งเดิมเกี่ยวกับซอฟต์แวร์ที่เป็นกรรมสิทธิ์ แต่ได้พัฒนาเป็นสิ่งที่ดูเหมือนโครงการเชิงพาณิชย์มากขึ้น Huawei, Intel และ Red Hat เป็นผู้นำบริษัทหลายร้อยแห่งที่มอบโค้ดให้กับเคอร์เนล Linux เป็นประจำ แม้ว่าบริษัทเหล่านี้จำนวนมากจะบริจาคเงินให้กับมูลนิธิ Linux และบริษัทในเครือของ Open Source Initiative แต่อาจถึงเวลาแล้วที่จะต้องมีแนวทางที่เป็นระบบมากขึ้นในการสนับสนุนซอฟต์แวร์เพื่อช่วยปรับปรุงความปลอดภัยในอนาคต ซึ่งให้ความสำคัญกับผลประโยชน์ของซอฟต์แวร์ดังกล่าวมากขึ้น ระบบโอเพ่นซอร์สที่สำคัญ

“ผู้คนต่างมองว่าโอเพ่นซอร์สนั้นทำงานโดยปกติ” คริสโตเฟอร์ ทอซซี อาจารย์อาวุโสของสถาบัน Rensselaer Polytechnic Institute กล่าว “มีคนรุ่นใหม่ที่ไม่ได้คิดถึงเรื่องเหล่านี้จริงๆ”