開源代碼的安全戰(zhàn)役，有沒有另一種打開方式？

無論從哪個角度看，開源代碼的安全戰(zhàn)都是一場十分必要、不容退卻的全民戰(zhàn)爭。當(dāng)然了，普通用戶只能打call，沖鋒陷陣的還得是軟件公司和程序員們。

對此，產(chǎn)業(yè)界也開始拿出了一些試圖從根源上解決問題的辦法。簡單說幾個：

一、漏洞獎勵

2012年，谷歌推出了Chrome獎勵計劃和漏洞獎勵計劃，鼓勵程序員找出其瀏覽器及在線服務(wù)中的具體弱點，使得廣泛使用的開源軟件盡可能不那么容易遭受攻擊，并為此支付500到3133美元不等的報酬。2013年，美國國家安全局也撥出了2510萬美元，用于“額外秘密購買軟件弱點”。

如今，漏洞賞金計劃已成為許多互聯(lián)網(wǎng)公司的重要安全策略之一，微軟推出了迄今為止最高的Windows Bug獎勵計劃，達到250000美金。蘋果、美國國防部、Facebook、騰訊、阿里ASRC、百度等為其漏洞支付的總金額也非常的驚人。

重賞之下，安全漏洞的時間差也有望有效減少。

二、新技術(shù)工具

無論是防止源代碼中的信息泄露，還是要尋找惡意文件、阻止惡意進程、保證端點安全，都有越來越多的技術(shù)工具可供使用，許多云安全公司和運營商等也都開始參與安全工具的開發(fā)。

比如最近的開源領(lǐng)導(dǎo)者峰會上，Linux基金會就宣布了Red Team（紅隊）項目。新項目將孵化開源網(wǎng)絡(luò)安全工具，以幫助提高開源軟件的安全性。

作為開源安全工具的孵化器，Red Team支持網(wǎng)絡(luò)范圍自動化，容器化滲透測試工具，二進制風(fēng)險量化和標(biāo)準(zhǔn)驗證程序等。并且能夠在云上模擬黑客攻擊，用戶可以部署黑客腳本，并對現(xiàn)實中的團隊進行安全培訓(xùn)。

諸如Commit Watcher等種種開源工具的出現(xiàn)，幫助程序員查找潛在危險失誤，也正在使軟件開發(fā)過程變得大不相同。

三、加密算法

如果我們將數(shù)據(jù)信息看做是網(wǎng)絡(luò)世界最寶貴的財富，那么加密機制就是一個可以保護數(shù)據(jù)的保險箱。除了將箱體打造的更加水火不侵，“鎖芯”這道防線也需要不斷迭代。

尤其是現(xiàn)在越來越多的機構(gòu)與企業(yè)選擇云計算技術(shù)作為復(fù)雜業(yè)務(wù)的解決方案，開源云平臺的安全問題也更加速咋，因此，數(shù)據(jù)加密算法的解決方案就顯得尤為重要了。

像是可以對企業(yè)數(shù)據(jù)進行安全分級，對等級高的數(shù)據(jù)先采用對稱算法進行加密，并將對稱算法產(chǎn)生的秘鑰進行非對稱加密存儲，從而兼顧數(shù)據(jù)和安全性，以及系統(tǒng)運行效率。

在硬件端，谷歌也剛剛推出了針對低端手機的新加密標(biāo)準(zhǔn)Adiantum，在沒有足夠計算能力芯片的前提下，也能實現(xiàn)高速計算來進行哈希算法加密及解密，從而提升終端設(shè)備的安全性能。

從長遠來看，開源社區(qū)更加靈活和開放的構(gòu)建方式，會令它繼續(xù)成為開發(fā)江湖的“根據(jù)地”。但當(dāng)開放與自由成為雙刃劍，又成為一個流著“奶與蜜”的數(shù)據(jù)豐饒之地，就很容易被不法之徒虎視眈眈。至少從GitHub這件事上看，開源代碼的安全問題，應(yīng)該已經(jīng)來到了一個危險的臨界點，也給一直以來“違規(guī)飆車”的業(yè)界敲響了警鐘。

用開源軟件的倡導(dǎo)者Eric S． Raymond的話來說——高質(zhì)量的代碼，就是對程序自己最好的注釋。（作者：腦極體）