开源代码管理：如何安全地使用开源库?

在开发内部和外部应用程序时，企业越来越多地使用开源代码——这是合理的。使用免费预构建的组件，而不用自行编写代码，能够显著缩短应用开发时间和提高软件开发成功概率。在开发应用程序时，开发团队可以轻松使用上百种以上的开源库、框架和工具，以及无数来自互联网的代码。

然而，开源代码有风险——即使是最广泛认可的代码库也一样。没有人能保证开源代码不会有Bug，也不保证它在开发过程中采用了符合企业应用要求的开源代码管理流程。即使开源项目有一个活跃的用户社区，它也可能有新旧漏洞。例如，今年开源Ruby on Rails Web应用框架已经遇到几次安全漏洞攻击，估计有200,000多个网站可能受到远程执行代码的攻击。更坏的是，这些Bug是在2007年出现的，这意味着6年多来这个框架的所有版本都有这样的问题。在本文中，我们将介绍使用开源代码给企业应用带来的风险范围，以及使用开源代码管理技术降低风险的方法。

开源代码与易受攻击的组件

有人认为开源代码给企业应用带来的风险很有限，因为许多时候开源代码只应用于有限的应用组件。然而，应用的组件几乎总是拥有整个应用的全部权限，所以一个有问题组件的总是可能会造成严重的后果。

任何代码的漏洞危害可能很小也可能很严重，攻击难度也可大可小，但是通用框架、库或组件上出现的漏洞则明显有较高的风险。现在的免费黑客工具集更新很快，它们会将这些新发现的漏洞添加到自动扫描程序中，这样使用这些问题代码的应用程序就会很快被搜索到，然后遭受到攻击，不仅高级黑客可以发起攻击，一些使用自动化攻击工具的初级黑客也可以攻击。

在新应用中出现这些有漏洞的组件是很严重的问题，因此它出现在最新的OWASP十大应用漏洞列表。在前一个版本的OWASP列表上，它属于更一般的“安全配置错误”条目，但是它现在成为一个独立条目——第9条：“使用有已知漏洞的组件”。

例如，OWASP指出，有2个带漏洞的组件在2011年下载次数达到2200万。第一位就是绕过Apache CXF的身份验证：Apache CXF框架无法提供一个身份令牌，因此攻击者可以有完整权限去执行任何Web服务。第二位是开源Java框架Spring中滥用的表达式语言，它允许攻击者执行任意代码，从而控制整个服务器。这样的后果是什么?只要企业应用程序使用了这些有问题的框架，它们就可能成为了攻击者手上的玩物。

通过开源代码管理实现软件安全性

使用开源代码的好处肯定胜过于从零开始开发应用程序所需要的时间与资源，但是另一方面，企业仍然必须使用一个流程保证所有第三方代码的更新。大多数开发团队甚至不知道其中一些代码的来历，更不用说更新版本了。

可是，并非所有开源项目都使用一种可以理解的版本编号机制，因此漏洞报告并不总能够确切指出有漏洞的组件版本。幸好，CVE和NVD等网站提供了方便搜索与查询这些信息的服务。

要改进开源代码的管理，开发团队必须先创建和维护一个最新的第三方代码使用列表，其中包括所有依赖代码和来源。为每一个来源指定一位负责人，专职跟踪邮件列表、新闻和更新。这不应该只是一种被动的活动;因为并非所有新漏洞都会报告到一个集中的信息中心，所以还需要监控公共安全邮件列表。有一些团队可能发现他们必须减少所使用的代码来源数量，才能提高管理效率;而且，肯定还要制定一个管理代码使用的策略，如业务案例、风险评估和可接受授权。

如果一个应用程序使用了有问题的代码，那么首先要检查它是否使用了包含漏洞的那部分代码，然后评估它是否存在需要处理的风险。一定要注意，许多开源项目并没有发布补丁;相反，它们通常都通过发布新版本来修复问题。要有紧急响应计划来处理一些重要版本发布，因为许多连接互联网的应用都应该严格审查，它们可能需要一种快速响应措施，才能防止攻击者成功攻破漏洞。

使用开源库的企业开发者应该知道开源代码的风险。即使这些代码能够显著减少软件开发时间，使用它们也可能会不必要地增加企业应用程序的漏洞，从而提高组织的风险级别，最终需要更多的时间去处理风险。要预先注意这些问题，企业就可以安全地使用开源库和框架，而不会将应用及整个组织置于不必要的风险中。