著名的“交友網(wǎng)站”GitHub是程序員的“大本營(yíng)”，很多人都將源代碼托管在上面，并不斷利用社區(qū)開(kāi)源資源開(kāi)發(fā)新的算法、軟件、應(yīng)用。這樣一個(gè)極客云集的平臺(tái)，居然被黑客給一窩端了，委實(shí)有點(diǎn)玄幻。

5月2日開(kāi)始，GitHub遭到了黑客的攻擊勒索，有370多名用戶(hù)的源代碼和信息被名為“gitb ackup”的賬號(hào)刪除。

黑客下載了那些代碼，并存儲(chǔ)到了自己的服務(wù)器上。要求他們往特定賬戶(hù)上支付0．1比特幣。并進(jìn)行了惡狠狠發(fā)威脅——“如果我們?cè)谖磥?lái)10天內(nèi)未收到您的付款，會(huì)將您的代碼公開(kāi)或以其他方式使用�！�

花開(kāi)兩朵各表一枝，這邊GitHub程序員忙著找代碼， 隔壁微軟的開(kāi)源開(kāi)發(fā)平臺(tái)也不幸被黑客選中了。黑客擦除了其392個(gè)代碼儲(chǔ)存庫(kù)，要求微軟支付一定的款項(xiàng)才會(huì)歸還竊取的數(shù)百個(gè)源代碼。

對(duì)此，許多受害者認(rèn)為，開(kāi)源平臺(tái)遭受攻擊是其上開(kāi)發(fā)的應(yīng)用程序有漏洞，被黑客利用了。

那么，有什么解決辦法么？GitLab建議是，使用強(qiáng)密碼降低被破解的風(fēng)險(xiǎn)，開(kāi)啟雙重身份驗(yàn)證，使用SSH密鑰等……

什么？全球頂尖程序員匯聚的平臺(tái)，安全措施也這么原始嗎？富土康流水線工人、村頭王大爺?shù)慕挥奄~號(hào)也都是這么提示的好嗎？

不得不說(shuō)，GitHub程序員被劫持事件給業(yè)界上了生動(dòng)一課，提醒人們，而開(kāi)源軟件和組件的先天不足，可能給普通網(wǎng)民和企業(yè)安全帶來(lái)巨大的風(fēng)險(xiǎn)，尤其是建造著數(shù)字網(wǎng)絡(luò)的“工程師”也可能“打盹兒”的時(shí)候。

從GitHub說(shuō)起：開(kāi)源社區(qū)集體缺了一節(jié)“安全行駛課”

1998年，“開(kāi)源”這一概念被首次提出，到2019年已經(jīng)度過(guò)了20個(gè)春秋。憑借著開(kāi)放、共享、自由等特性，開(kāi)源平臺(tái)在軟件開(kāi)發(fā)中扮演著越來(lái)越重要的角色。Gartner的一項(xiàng)調(diào)查顯示，有99％的組織在其IT系統(tǒng)中使用了開(kāi)源軟件。

很多我們熟悉的日常軟件功能，比如支付賬單、娛樂(lè)社交、工作效率等等，有60－80％的代碼庫(kù)都來(lái)自開(kāi)源社區(qū)。

前不久Snyk公司發(fā)布的2019年開(kāi)源安全現(xiàn)狀調(diào)查報(bào)告也說(shuō)明，開(kāi)源項(xiàng)目的采用率正在以驚人的速度增長(zhǎng)。僅是2018年，Java 工具包翻了一番，而 npm 增加了大約 250000 個(gè)新的工具包。

（每種語(yǔ)言其生態(tài)系統(tǒng)的新漏洞增長(zhǎng)情況）

數(shù)字時(shí)代的進(jìn)度條，因?yàn)殚_(kāi)源而飛快加載。但步子邁得太大，也容易摔著。說(shuō)到影響網(wǎng)絡(luò)安全的最大掣肘，恐怕也要追溯到開(kāi)源社區(qū)。

Snyk報(bào)告中提到，有37％ 的開(kāi)源開(kāi)發(fā)者在持續(xù)集成（CI）期間沒(méi)有實(shí)施任何類(lèi)型的安全測(cè)試，54％ 的開(kāi)發(fā)者沒(méi)有對(duì) Docker 鏡像進(jìn)行任何安全測(cè)試。這也導(dǎo)致兩年時(shí)間內(nèi)，各大平臺(tái)的應(yīng)用程序漏洞數(shù)量增長(zhǎng)了 88％。 GitHub上排名前40萬(wàn)的公共代碼庫(kù)中，僅2．4％有安全文檔。而npm 和 Maven 中央倉(cāng)庫(kù)的安全隱患尤其嚴(yán)重，因?yàn)槎�者也是工具包�?shù)量增長(zhǎng)最多的平臺(tái)。

搞了半天開(kāi)發(fā)者們都是在不系“安全帶”的前提下超速飆車(chē)�。�？話(huà)又說(shuō)回來(lái)，漏洞的存在會(huì)帶來(lái)多大的影響呢？

原本不需要這么緊張的，但在開(kāi)源的情況下，事情就變得很不一樣了。

因?yàn)楫?dāng)一個(gè)開(kāi)源組件存在漏洞（通常稱(chēng)為CVE）時(shí)，這個(gè)漏洞會(huì)迅速公布。原本，開(kāi)源可以讓更多人及時(shí)發(fā)現(xiàn)漏洞，并對(duì)其執(zhí)行必要的修復(fù)。不幸的是，一些圖謀不軌的人也同樣可以看到這些信息。

他們幾乎不需要付出太多努力，就能了解哪些組件更容易受到攻擊以及如何做。然后，找到哪些平臺(tái)和公司可能會(huì)反應(yīng)遲鈍，在被修復(fù)之前黑掉他們的系統(tǒng)。

2018年4月，黑客就暴力破解了流行開(kāi)源Magento電子商務(wù)平臺(tái)的口令，利用拿到的訪問(wèn)權(quán)大肆搜刮信用卡記錄并安裝加密貨幣挖礦惡意軟件。另外諸如著名的OpenSSL水牢漏洞事件、心臟滴血事件、Equifax數(shù)據(jù)泄露事件、Gmail、yahoo和Hotmail賬號(hào)泄露等等，都是被黑客搶占了先機(jī)。

數(shù)據(jù)表明，如今開(kāi)源平臺(tái)漏洞出現(xiàn)到修復(fù)的時(shí)間，中位數(shù)幾乎長(zhǎng)達(dá)2年之久。這意味著，所有使用了那些漏洞代碼或組件的軟件用戶(hù)，只是在黑客們的陰影還沒(méi)來(lái)得及動(dòng)手的“慈悲”下盲目而快樂(lè)地沖浪在網(wǎng)絡(luò)。

那么問(wèn)題來(lái)了，究竟是什么導(dǎo)致了程序員們?nèi)绱恕靶拇蟆�，甚至不停地給黑客們“送人頭”呢？