然而,领导Bash开发的程序员却并不为任何一家互联网巨头工作。他甚至不在为一家科技公司工作。这名程序员名叫切特·雷米(Chet Ramey),是克里夫兰Case Western Reserve University的程序开发人员,并只在业余时间对Bash进行维护。
“相当长一段时间了”
80年代末,雷米取代福克斯成为了Bash的领导开发者。在9月12日这天,雷米收到了一封来自安全专家史蒂芬·查兹拉斯(Stephane Chazelas)有关Shellshock程序Bug的电子邮件。这是一个高危的安全漏洞,全世界的人在上周都意识到了这个问题——仅在数个小时,就有黑客发布了攻击代码,可利用
Shellshock漏洞将一台未补丁的机器瞬间转变称可任意操控的僵尸网“肉鸡”。
雷米并没有权限访问Bash开发项目原始代码的更新日志,这些数据是在90年代初期创立的。不过雷米认为自己很可能是那个编写了Shellshock程序Bug的人,而Bug创建的时期大约要追溯到1992年的某个时候。这个时间显然足以让Shellshock成为当今最古老、最重要,且尚未修补的安全漏洞。《连线》为此还特别联系了普渡大学的尤金·斯帕福德(Eugene Spafford)教授以证实猜测。而斯帕福德也明确表示:“我无法回忆起任何其它尚未修补的比这个更古老的漏洞。当然这个世界上肯定还有很多历史更久远的Bug存在,但考虑到漏洞产生的潜在影响及存在时间,Shellshock无疑是最耀眼的。”
不过,上述的情况让那些对“心脏流血”十分熟悉的人有似曾相识的感觉。“心脏流血”也是发现于一个历史悠久的开源软件项目——SSH,该软件同样亦被广泛使用。与SSH项目的开发一样,Bash也从未有过任何安全性审查,软件是由一组志愿爱好者维护开发的,且基本上他们并不会因开发Bash而获得任何财务方面的赞助。很不幸的是,这种模式也正是互联网的发展过程。
“多双眼睛”的谎言
安全咨询公司Errata Security首席执行官罗伯特·格莱汉姆(Robert Graham)指出,Shellshock对开源软件的主要用户撒了一个谎言,即:开源软件允许“许多双眼睛”来共同监督和修复Bug,这能使其效率和安全性要好过闭源的商业版权软件。这种美好的想法亦被称为“林纳斯定律”(Linus's Law)。
“如果真有许多双眼睛在过去25年里一直都在关注Bash,那么这些Bug早在多年前就会被发现了。”格莱汉姆上周在博客上写到。
“林纳斯定律”是由林纳斯·托瓦兹(Linus Torvalds)创建了Linux操作系统后命名。Shellshock漏洞曝出后,林纳斯表示该定律依旧成立。
“有很多代码实际上并没有很多双眼睛在监督。很多开源项目也并没有真正让大量开发者参与到其中,即使其中一些是非常核心的开源应用。”林纳斯表示。
这个问题在任何软件中都是存在的,无论是开源或者闭源。总体来说,我们更难说清闭源软件里究竟存在多少Bug,譬如甲骨文的数据库应用。而在大约十年前,微软也曾面临过严重的安全问题,因为该公司部分代码并未没有正确地经过审核。但在经历过2003年的Windows Blaster蠕虫问题后,微软终将安全审查列到了第一位。于是在接下来的十年里,微软的代码质量提高了。微软每年都会聘请大量的“白帽”黑客和花费千万美元来保证产品的安全性。如今开源软件社区也将会开始同样的旅程。
今年5月,在“心跳流血”漏洞首次公开后不久,Linux基金会筹集了600万美元,以针对一些被广泛使用的开源项目的安全性进行一次大检修,其中包括了SSH、NTP(网络事件协议)等等。然而不幸的是,Bash并未在其列。
“这是不可预料的。”Linux基金会执行董事吉姆·泽姆林(Jim Zemlin)表示,“但当然的,我的人一定会去接触相关的开发人员,以看看是否能提供帮助。”
这很好,但前提是要在Bug发现前继续维护好互联网。希望Linux基金会、谷歌或Facebook等可以继续做好这一点。
即使有了Shellshock这一瑕疵,布莱恩·福克斯仍然为让自己曾经横跨美国的创造出的Bash而骄傲。
“在它首个Bug被发现之前,这个软件已经存在27年了。”福克斯说,“鉴于软件的使用情况和Bug的发现比例,这个结果非常令人难以忘记。”