Apache在内部如何处理安全问题?

随后我们稍稍改变了话题的方向,着重探讨总体上的Apache基金会和具体上的HTTP项目在内部如何处理安全问题。

在Apache肩负处理安全问题这个重任的是Apache软件基金会安全小组(ASF Security Team),Bill是这个团队的成员之一。他表示,开始,“我们还以为只会接到关于httpd的安全事件报告。但情况很快就发生了变化。”

安全团队的规模慢慢扩大到了随时都有5名活跃成员,临时委员会有10名成员。Bill解释:“我们实际上扮演了调度员的角色。”

至少在外人看来,这个过程似乎很简单:“团队确认我们确实遇到了酷似安全事件报告的问题,对不是安全事件报告的任何问题进行排查,然后将排查结果交给相应的人员或部门。”

“如果我们接到公众反馈上来的零日安全漏洞,或者实际的重现情形——通过另一家机构悄悄传递给我们,我们随后会转交给某个相应的Apache项目;我们成为了这个项目的资源中心,帮助他们了解你与报告这个事件的那一方如何互动。”

然后,视项目会不会重现报告的安全漏洞而定,安全团队帮助项目应对安全研究人员(通常是报告安全漏洞的那个人或那家组织)。Bill解释:“我们对他们说,嘿,在我的下一个版本中,我们会拿出修复程序,你在那个时间点之前别用这个版本,这是我们的时间表。”

我们并没有试图有意隐藏我们的代码执行什么样的功能。

“我们并没有试图有意隐藏我们的代码执行什么样的功能,而我们能做的就是修补漏洞,我们只是说自己在修复软件缺陷,而不是把任何注意力引向这个事实:旧代码中存在安全问题,安全问题是这个样子。”

据Bill声称,有些人在密切关注重大开源项目(如Linux内核、httpd及其他项目)提交的代码,一心寻找在不远的将来可能堵上的漏洞。Bill解释:“如果他们能找到我们正努力堵上的漏洞,他们想找到机会窗口,以便可以钻这个安全漏洞的空子。”

“所以我们扮演的是资源中心,尽量化解困惑、化解每一个项目的压力——我们在任何时间有100个左右的项目,每个项目都在处理各自的安全问题,无论是在排查安全问题,还是迅速处理安全问题。”

我们还应补充一下,安全团队在努力帮助确认看起来像特定问题域问题的某些问题,比如最近的散列安全漏洞(http://arstechnica.com/business/news/2011/12/huge-portions-of-web-vulnerable-to-hashing-denial-of-service-attack.ars)。随后,安全团队会查看其他Apache项目可能会受到什么影响,团队可以在多大程度上与别人共享有关的安全报告,即便受直接影响最大的那个项目正在处理当前的安全漏洞。


共3页: 上一页123下一页

相关内容