开源技术由于其免费、开放、自由的特点收到众多个人和企业用户的青睐 。 但也正是因为这些特点 ， 开源技术更容易成为黑客攻击的对象 ， 之前频发的开源安全事故无不在印证着这一事实 。 那我们该如何看待开源技术的安全问题？使用开源技术到底是风险高还是收益高？欢迎大家在评论区留下你的看法 。
作者 | 宋林飞 责编 | 张红月
出品 | CSDN（ID：CSDNnews）
就在刚刚过去的2021年 ， 技术圈传出了一个爆炸性的新闻 ， Log4j安全漏洞影响了上亿家公司 ， 造成了无法计量的损失 ， 使无数的程序员度过了一个难熬的不眠夜 。 不了解的人可能会不禁好奇 ， 这到底是哪个供应商的产品 ， 能够有如此大的影响力？在了解后才发现 ， 原来这是一个开源技术 。
那为什么它的漏洞能引发如此的轩然大波？其实 ， 这都要归结于开源技术的特点 。 因为在遵循项目开源许可的情况下 ， 企业和个人可以自由且免费的使用这些开源技术 ， 获取这些项目的源代码 ， 甚至基于这些项目的代码进行二次开发 。 因此 ， 好的开源项目自然会被很多的企业、用户使用 ， 并且在很多的软件和服务里面都能看到它们的影子 。 但正是因为开源技术“开放”和“自由”的特点 ， 它也更容易成为居心叵测之人下手的目标 。 黑客们有机会对项目的源代码进行分析、修改 ， 并使用各种方法来遮盖对开源项目做出的恶意更改 。 再加上代码审查的严格程度因项目而异 ，如果没有严格的审查措施来检测这些恶意更改 ， 它们很容易就会被忽视 ， 直到它们扩散开来 ， 被使用在众多公司的软件中 。
开源 ， 不可忽视的安全隐患
比如刚刚提到的Log4j项目 ， 它是一个基于Java的日志记录工具 ， 被70%以上的公司使用 。 里面的一个功能由于存在漏洞 ， 导致攻击者可以任意执行命令 。 这就给了很多黑客可乘之机 ， 他们可以远程在包含Log4j的程序中执行恶意代码 ， 植入病毒等等 ， 几乎等同于为所欲为 ， 如此产生后果的严重性是不可估量的 。
然而 ， 与Log4j类似的情况比比皆是 。 EspoCRM ， Pimcore ， Akaunting作为三个被数千家公司使用的开源软件 ， 在企业的用户关系管理、客户数据管理、数字资产管理以及财会方面发挥着至关重要的作用 。 它们也曾被爆出致命漏洞 ， 成功利用这些漏洞可以使绕过身份验证的攻击者执行任意Java代码 ， 控制底层操作系统并发起额外的恶意攻击 ， 还可以通过特制的HTTP请求触发拒绝服务 ， 甚至更改与用户账户关联的公司 ， 且无需任何授权 。
还有在2014年席卷整个互联网世界的OpenSSL Heartbleed（心脏出血）漏洞 ， 不仅让整个中国互联网为之一颤 ， 而且导致全球超过三分之二的网站“心脏出血” ， 使全球互联网大量私钥和其他加密信息处于暴露危险下 ， 受影响严重的系统甚至可以从服务器中直接获取 用户密码 。 这一起起的开源安全事故 ， 无不在印证着开源技术的安全风险 。

文章图片

那不用开源行不行？
在看完上面开源安全事故的回顾 ， 有人可能会有这样的疑问 ， “既然开源技术有这么大的风险 ， 我们不用它不就行了？” 。 其实这个问题的答案也很明显 ， 还真不行！因为开源技术都是由开源社区的小伙伴们共同建设的 ， 其中不乏很多成熟且高质量的项目 。 直接把这些项目拿来使用 ， 可以避免重复造轮子 ， 为企业节省大量的时间和人力成本 。 让企业摒弃开源项目 ， 自己再把现成的功能重新开发一遍 ， 浪费成本不说 ， 自研的程序从功能性的角度可能还不如开源 。 所以 ， 让企业杜绝使用开源技术是不现实的 。