Minnesota Üniversitesi Linux Yasağı Açık Kaynakla İlgili Soruları Soruyor

Genellikle iki tür bilgisayar korsanı vardır: onları düzeltmek için güvenlik açıklarını bulmak için bilgisayar sistemlerine girenler ve verileri çalmak ve kuruluşları rehin tutmak için zayıflıklardan yararlanan suçlular.

Bir de Minnesota Üniversitesi'nde bilgisayar güvenliği konusunda uzmanlaşmış yardımcı doçent olan Kangjie Lu var. Son zamanlarda, dünyanın en önde gelen açık kaynaklı yazılım sistemi olan Linux çekirdeğinde kasıtlı olarak güvenlik açıkları yaratmasıyla ün kazandı. Açıkları hakkında akademik bir makale yayınladıktan sonra, Linux çekirdek ekibi üniversiteyi yasakladı ve önceki düzeltmelerini geri aldı.

Kasıtlı Linux Çekirdeği Güvenlik Açıkları

Açıklamalar, açık kaynak güvenliği ve sayısız cihaz ve sunucunun temel bir bileşeni olan işletim sistemi çekirdeği hakkında soruları gündeme getirdi. Lu, kendisinin ve bir yüksek lisans öğrencisinin Linux'un geniş yazılım kodu deposuna sunduğu bazı küçük düzeltmelerde güvenlik açıklarını gömdü ve programı güvenli tutmak için gerekli olan ortak çalışma yöntemini alt üst etti.

2020'de Toptal ağına katılan Toronto merkezli bir proje yöneticisi olan Alexander Sereda, "Üzücü bir şekilde başarılı oldular" diyor. "Onların kötü niyetli kodları, bu tür gönderileri ayıklaması gereken topluluk gözetiminden geçti."

Windows ve macOS masaüstlerine hakim olsa da, Linux tabanlı işletim sistemleri sunucular ve süper bilgisayarlar için açık ara en popüler olanlardır ve Google, Android için çekirdeğin değiştirilmiş bir sürümünü kullanır. Red Hat gibi teknoloji devleri, kurumsal yazılım işlerini açık kaynak üzerine kurdu ve hatta yıllardır açık kaynak ekosisteminin önde gelen rakibi olarak görülen Microsoft bile ortaya çıktı: 2018'de en büyük açık kaynak sunucusu GitHub'ı satın aldı. kaynak projeler; bugün, Linux dağıtımları Microsoft Store'da bulunabilir.

Hobiler ve idealistlerden günümüz yazılım pazarının temel taşlarından biri haline gelen Linux çekirdeğinin ve açık kaynaklı yazılımın yaygınlığını abartmak zor. Geliştiricilerin gözden geçirmesi için kelimenin tam anlamıyla milyonlarca açık kaynak projesi vardır ve bunlar ücretsiz ve çoğunlukla güvenilir oldukları için ticari uygulamaların %90'ından fazlası bu tür bileşenleri içerir. Silikon tasarım ve yazılım güvenliği firması Synopsys'in yıllık çalışmasına göre bu rakam büyümeye devam ediyor.

Güvenilir olmak, özgür olmak kadar önemlidir ve açık kaynak topluluğu, tescilli yazılımdan daha iyi olmasa da eşit olan programlar sunmaktan gurur duyar. Hareket, 1990'larda geliştirici ve yazar Eric Raymond tarafından "yeterli göz küresi verildiğinde, tüm böcekler sığdır" şeklindeki merkezi bir ilkeyle ortaya çıktı. Bu açık kaynak şimdiye kadar nispeten zarar görmeden hayatta kaldı - dünya benzeri görülmemiş bir bilgisayar korsanlığı ve fidye yazılımı salgınıyla mücadele ederken bile - bu tür açık işbirliğinin hala etkili olabileceğinin yalnızca bir başka teyidi.

Ancak Lu'nun araştırmasında gösterdiği gibi, Linux çekirdeği kadar kritik ve yakından izlenen bir şeyde bile hiçbir güvenlik mükemmel değildir. Sereda, güvenli kod yazmak kolay olsa da, olaydan sonra koddaki güvenlik açıklarını bulmak inanılmaz derecede zor olabilir - “çayınız karıştırıldıktan sonra sütü çıkarmak gibi” diyor. Açık kaynak genel olarak takdire şayan bir performans sergilemiş olsa da, 2014'te ortaya çıkan Heartbleed hatası gibi birkaç önemli aksaklık dışında, geliştiricilerin kendi hesaplarına özgür yazılımı kendi yazılımlarına dahil ederken çok fazla kısayol kullandıklarına dair giderek artan bir kanıt var. Ürün:% s.

Açık Kaynak Güvenlik Riskleri

Synopsys 2021 yıllık raporunda, pazarlama teknolojisi endüstrisinde denetlediği her şirketin kod tabanlarında açık kaynak bulunduğunu ve bu kod tabanlarının %95'inin güvenlik açıkları içerdiğini ortaya koyuyor. Sağlık sektörü, finansal hizmetler sektörü ve perakende ve e-ticaret sektörlerine bakıldığında da benzer sonuçlar bulundu. Kötü sonuçların birkaç nedeni var, ancak bunların en başında, yazılımın daha karmaşık bir şekilde büyümeye devam etmesi ve bu nedenle bileşenleri izlemenin ve izlemenin zorlaşmasıdır.

Açık kaynak, tescilli ürünlerden çok daha iyi bir güvenlik kaydına sahiptir, ancak bu, her zaman en iyi kalite olacağını garanti etmez, diyor Toptal'ın ağına 2021'de katılan serbest çalışan bir tam yığın geliştirici olan Sam Watkins. aşırı karmaşık programlar olan sorun. Kötü niyetli olmasa da güvensiz.”

O zaman sorun, mutlaka açık kaynağın çok açık olması değildir. Synopsys'in baş güvenlik stratejisti Timothy Mackey, bunun yerine, yazılım döngüleri daralmaya devam ederken bile topluluk için yamaları zorlayan bir satıcı olmadığı için devam eden boşluk olduğunu söylüyor. Kısıtlı bütçeler, programcıları bileşenlerini kalite yerine popülerliğe göre seçmek için basit derecelendirme sistemleri gibi kusurlu kısayollar kullanmaya zorlar. Openbase, Stack Builder ve GitHub'daki en popüler projeleri vurgulayan Açık Kaynak Dizini dahil olmak üzere programcılara bu tür kısayollar sunan birden çok hizmet vardır.

Açık Kaynak Güvenlik Açığını Yönetme

Programcılara ve akademisyenlere göre, bu açık kaynaklı derecelendirme sistemlerinde değer olsa da, seçenekleri tartarken yalnızca en iyi eşleşme gibi görünen bileşenleri almak yerine daha fazla doğrulama ve değerlendirme yapılması gerekiyor. Her kuruluş, gereken destek miktarını ve karşı karşıya kalınan riskleri hesaba katan yazılımı dikkatli bir şekilde seçme ilkelerini içeren bir dizi en iyi uygulama oluşturmalıdır. Şirketler ayrıca tüm açık kaynak bileşenlerini izlemeli ve sık sık güncellemelidir.

Uzmanlarımızın değerlendirilmek üzere belirlediği diğer en iyi uygulamalardan bazıları şunlardır:

• Otomasyonu kullanma, süreçleri doğrulama, her şeyi belgeleme ve kod tabanı değişikliklerini izlemek için Git'i kullanma.
• Açık kaynağa yeni başlayan ve önemli işbirlikçiler haline gelebilecek insanlara yardım etmek de dahil olmak üzere olumlu bir topluluk oluşturmak.
• Tüm açık kaynaklı tedarik zincirlerini denetlenebilir tutmak.
• Ana bilgisayar işletim sisteminin çekirdeğini paylaşan açık kaynaklı kapsayıcıları kullanma.
• En kritik açık kaynak bileşenlerini belirlemek, ardından güvenlik sorunlarını takip etmek, geliştiricileriyle iletişim kurmak ve hem yamalar hem de finansman ile yukarı akış projelerine katkıda bulunmak.

Calgary Üniversitesi Schulich Mühendislik Okulu'nda yardımcı doçent olan Ann Barcomb, ideal olarak kuruluşların önceden onaylanmış ürünlerden oluşan kitaplıklar oluşturmak için bir dizi en iyi uygulamayı kullanması gerektiğini, böylece yazılımın hiçbir zaman keyfi olarak seçilmediğini ekliyor. Ancak, bu sürecin zaman alıcı, maliyetli ve yaygın olarak uygulanmadığını kabul ediyor.

Toptal'a 2021'de katılan serbest çalışan bir arka uç geliştirici olan Ayush Poddar, "Daha fazla güvenlik istiyorsunuz, ancak bu güvenliğin çok büyük bir bedeli var" diyor.

Black Duck, Sonatype, Snyk ve WhiteSource gibi platformlar, bir bilgisayar programının yığınındaki açık kaynaklı bileşenleri bulmaya ve güvenlik açıklarını belirlemeye yardımcı olmak için otomasyon sağlar. Yine de, bu araçlar sınırlıdır ve kod yamalarına ayak uydurmak daha da kötüleşen başka bir sorundur - ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı genellikle haftada yüzlerce yeni yazılım güvenlik açığı rapor eder.

CA Technologies'de BT mimarisini ve mühendisliğini denetleyen emekli bir teknoloji yöneticisi olan Aidan McManus, "Her bir kod bitinin nasıl yürütülebileceğinin her kombinasyonunu test edemezsiniz" diyor. "Yıllar alacaktı."

Minnesota Üniversitesi Bilgisayar Bilimi ve Mühendisliği Bölümü başkanı Mats Heimdahl, Kangjie ve araştırmacılarının çekirdekte gönderdikleri hatalardan ayrı çok sayıda kötü yama bulduğunu belirtiyor. Heimdahl bir e-postada, "Bana göre, çok çalışan ve yeterince takdir edilmeyen gönüllüler (son derece yetenekli ve özverili bakımcılar tarafından bile) tarafından yapılan bir manuel inceleme sürecinin kaçınılmaz olarak kusurlu olacağı oldukça açık" dedi.

Güvenlik açıklarının artması gerçeği, açık kaynağın nasıl yönetileceğine dair temel soruları gündeme getiriyor. İnovasyonu hızlandırırken, esasen paylaşılan bir kaynaktır, tüketicilere yılda 60 milyar dolar tasarruf sağlayan ve aynı zamanda geliştirme maliyetlerini azaltarak şirketler için karları artıran, kullanımı ücretsiz geniş bir yazılım kütüphanesidir. Bakım ve güvenlik için yeterli kaynak ayrılmadığı için çok fazla ücretsiz sürücü olabilir.

Minnesota Üniversitesi Linux Çekirdeği Yasağı: Öğrenilen Sınırlar

Düzeltmelerin incelenmesinin değiştiğini gösteren hiçbir şey olmasa da, Linux Vakfı, çekirdekle çalışan araştırmacılar için bir dizi en iyi uygulama oluşturuyor ve Minnesota Üniversitesi'nin sunumları için bir gözden geçiren atamasını önerdi. Barcomb, kod incelemesinin gerçekten bir alternatifi olmadığını ve mevcut topluluğun kötü niyetli kodları dışarıda tutmak için makul bir iş çıkardığını söylüyor. Bilgi çalışması için gereken özerklik göz önüne alındığında, "yapabileceğiniz en iyi şey, güven ihlallerini belirlemek ve buna göre, en iyi durumda değişiklikler dahil edilmeden önce yanıt vermek için süreçlere sahip olmaktır" diyor.

Heimdahl, kurumunun yasağın kaldırılmasını beklerken yama gönderimleri konusunda tavsiyelerde bulunmak üzere bir komite düzenlediğini belirtiyor.

Linux bir zamanlar dışarıdan birinin fikriydi, tescilli yazılım hakkındaki geleneksel düşünceye cesur bir karşı duruştu, ancak daha çok ticari bir projeye benzeyen bir şeye dönüştü. Huawei, Intel ve Red Hat, Linux çekirdeğine düzenli olarak kod katkıda bulunan yüzlerce şirkete liderlik ediyor. Bu şirketlerin birçoğu aynı zamanda Linux Vakfına ve Açık Kaynak Girişiminin bağlı kuruluşlarına da para bağışlarken, güvenliğin ileriye taşınmasına yardımcı olmak için yazılımı desteklemek için daha sistematik bir yaklaşımın zamanı gelmiş olabilir - bu tür uygulamaların faydalarına daha iyi değer veren bir yaklaşım. önemli açık kaynak sistemleri.

Rensselaer Politeknik Enstitüsü'nde kıdemli öğretim görevlisi olan Christopher Tozzi, "İnsanlar açık kaynağın işe yaradığını kabul ediyor" diyor. "Bu konuları gerçekten düşünmemiş yepyeni bir nesil var."