“9月25日周二下午,我們的工程團(tuán)隊(duì)發(fā)現(xiàn)了一個影響近5000萬個賬戶的安全問題,”Facebook的Guy Rosen在公司9月份的一次安全更新中表示到。
這個問題很嚴(yán)重。被盜的并不是密碼,而是訪問令牌(access token),這是一個不透明的字符串,用于標(biāo)識用戶,并授予對API的訪問權(quán),這里的API指的是應(yīng)用程序用戶訪問Facebook時使用的軟件接口。
獲得令牌后,攻擊者便可以以其他用戶的身份登錄Facebook,更糟糕的是,這些不法分子還可以使用偷來的Facebook用戶身份來驗(yàn)證登錄其他網(wǎng)站,不過目前尚不足清楚這種情況是否已經(jīng)發(fā)生,攻擊背后的幕后主使也不得而知。
這個安全災(zāi)難的原因是一個編程錯誤,或者更確切地說,是工程VP Pedro Canahuati 所述的,這是“三個bug的組合”。第一個是發(fā)生在視頻只讀API中的bug,第二個是視頻上傳API中的一個bug,后者生成一個具有廣泛權(quán)限(Facebook移動應(yīng)用程序權(quán)限)的訪問令牌。而第三個(可能也是最嚴(yán)重的)bug是生成的訪問令牌針對的不是當(dāng)前用戶,而是正在查看概要文件的另一個用戶。
該事件表明,bug永遠(yuǎn)無法避免,即使是那些資源最豐富的軟件項(xiàng)目,而且人們也很難發(fā)現(xiàn)那些不會立即影響功能的bug。雖然測試是今天軟件開發(fā)和部署中不可或缺的一步,但是沒有哪個測試可以試驗(yàn)所有可能的輸入組合,或者展現(xiàn)出所有可能的失敗。
這個案例還展示了當(dāng)今軟件bug的影響是如何被某些代碼的大量使用和放大的。在本例中,我們討論的是攻擊者可能會利用大約5000萬個帳戶,來訪問未知數(shù)量的第三方站點(diǎn)。
另一個近期的例子是: 2018年10月,微軟在沒有充分測試的情況下發(fā)布了Windows 10的特性更新,而其中的一個bug會在某些情況下會刪除用戶數(shù)據(jù)。在被下架之前,該更新已經(jīng)被安裝到了數(shù)千名用戶的系統(tǒng)中,微軟為此付出的聲譽(yù)、補(bǔ)救和支持成本可想而知。
時間往前推移一些,還有2014年發(fā)現(xiàn)的“心血”(Heartbleed)漏洞, 它源自O(shè)penSSL加密庫中的一行代碼:
memcpy(bp, pl, payload);
該代碼不會檢查數(shù)據(jù)的實(shí)際大小是否與復(fù)制的數(shù)量相匹配。因此,攻擊者可以在大小上進(jìn)行欺騙,并接收出現(xiàn)在內(nèi)存中的其他數(shù)據(jù)副本,其可能包括用戶名和密碼。這個bug影響了Apache和Nginx web服務(wù)器,而這些服務(wù)器又被世界上三分之二的活躍網(wǎng)絡(luò)站點(diǎn)以及無數(shù)其他網(wǎng)絡(luò)應(yīng)用程序使用著。
向前一步,退后兩步
2011年,風(fēng)險投資家Marc Andreessen因認(rèn)為軟件正在吃掉世界而登上新聞頭條。某種程度上,這個表述還算正確,但是我們可能都沒注意到軟件中的bug問題。早在二十年前,程序員及作家Steve McConnell 就認(rèn)為按行業(yè)平均水平,每1000行的代碼中就會存在15到50個bug,同時權(quán)威IT項(xiàng)目跟蹤機(jī)構(gòu)Standish Group也在報告中指出,1995年有三分之一的軟件項(xiàng)目最終取消,這帶來了810億美元的浪費(fèi)。McConnell和Standish Group簡直是軟件交付派對上的幽靈,他們進(jìn)一步加劇了軟件交付實(shí)踐質(zhì)量不佳的壞名聲。軟件項(xiàng)目總是會延期,而且總是會存在大量的bug。在那時,如果真的有軟件項(xiàng)目真的能按時、按預(yù)期并按預(yù)期運(yùn)行,那真可以用驚喜形容。
不過,那是上世紀(jì)90年代的舊事了,如今的軟件工具、開發(fā)實(shí)踐和文化自那時起已發(fā)生了很大變化。這類轉(zhuǎn)變的突出代表包括測試驅(qū)動型開發(fā)和源于極限編程方法論(Extreme Programming methodology)的代碼覆蓋概念(即測試期間執(zhí)行代碼的數(shù)量)。靜態(tài)代碼分析是另一個突破,該方法使用工具執(zhí)行編碼標(biāo)準(zhǔn),并捕捉比較明顯的bug。同時,編碼標(biāo)準(zhǔn)本身也在不斷發(fā)展,包含了使代碼變得更可靠的知識,例如保持代碼單元簡短。
更安全的編程語言也在提供幫助。具有自動內(nèi)存管理且不直接使用指針的高級語言,如1996年首次發(fā)布的Java,它使開發(fā)人員更容易避免一些錯誤。在最近,像GitHub這樣的云托管工具的出現(xiàn),也使得各個團(tuán)隊(duì)的中軟件生命周期管理工具變得更加易用。
開發(fā)人員是否因此保持了代碼的“清潔”?
隨著軟件變得越來越普遍,答案應(yīng)該是肯定的。軟件不再僅僅是工作場所(Windows個人電腦和服務(wù)器)的專利,也不再是為晦澀難懂的工業(yè)控制系統(tǒng)編寫的復(fù)雜流程。但同時軟件缺陷帶來的風(fēng)險,也不再是僅存在于公司的服務(wù)器中了。
據(jù)2017年Mitre常見缺陷列表(CWE)所示,實(shí)際情況并不樂觀。首先就是注入攻擊(injection attack),它包括SQL注入在內(nèi),在此情況眾,用戶輸入可以執(zhí)行未經(jīng)授權(quán)的命令。 多年來,該缺陷一直為人所知,并不斷引發(fā)問題。
CWE列表中收錄的另一大缺陷是“使用具有已知漏洞的組件”。軟件開發(fā)人員一直依賴于代碼庫;而任何項(xiàng)目中的大多數(shù)代碼都是由其他人編寫的。但是,正如Heartbleed所顯示的那樣,庫和組件并不能避免漏洞。當(dāng)庫或組件中的錯誤被發(fā)現(xiàn)時,它將被修復(fù)。
不過,修補(bǔ)所有正在使用的應(yīng)用程序中的bug是非常具有挑戰(zhàn)性的。許多受到影響的應(yīng)用程序可能得不到良好地開發(fā),一些bug還可能存在于永遠(yuǎn)得不到修補(bǔ)的網(wǎng)絡(luò)設(shè)備固件中。因而物聯(lián)網(wǎng)變成了“bug網(wǎng)”,除非有自動補(bǔ)丁存在,同時供應(yīng)商也提供細(xì)致的補(bǔ)丁管理。
此外,bug不僅很昂貴,而且還性命攸關(guān)??突仿〈髮W(xué)教授Phil Koopman專門研究嵌入式軟件的質(zhì)量,比如自動駕駛汽車和其他類汽車軟件安全等,在最近的一篇關(guān)于汽車軟件缺陷與潛在致命性的文章中,Koopman列出了50個令人不安的缺陷報告,如突然加速、無法脫離自動駕駛控制以及妨礙司機(jī)進(jìn)行轉(zhuǎn)向控制等。
降低代碼復(fù)雜度
Koopman指出,提高軟件質(zhì)量在很大程度上就是觀察最佳實(shí)踐。
這包括降低代碼復(fù)雜性、使用靜態(tài)分析工具和零警告編譯、認(rèn)真檢查實(shí)時代碼調(diào)度、嚴(yán)格軟件測試以及使用基本工具(包括配置管理、版本控制和bug跟蹤等)。
CAST Research Labs在2017年發(fā)表了一篇關(guān)于應(yīng)用軟件健康程度的報告,該報告基于遍及8個國家和329個組織的1850個“大型、多層、多語言的商用程序”,一共具有10億行代碼。該報告基于五個健康因素:穩(wěn)定性、安全性、效率、可更改性(代碼修改難度)和可轉(zhuǎn)移性(對于剛接觸代碼的開發(fā)人員來說理解代碼有多難)。
CAST的報告令人鼓舞,所有類別的總體平均得分在3.0或以上,其中安全性最好在3.22分,可移植性最差在3.0分。這種相當(dāng)高的質(zhì)量水平反映了這樣一個事實(shí),即這些應(yīng)用程序通常會在資源豐富的部門中起關(guān)鍵作用。
但這些結(jié)論仍值得再推敲一下。比如安全評分差異較大,這說明缺乏安全編碼實(shí)踐仍然是一個問題。在團(tuán)隊(duì)規(guī)模方面,CAST認(rèn)為超過20名開發(fā)人員的團(tuán)隊(duì)得分較低,并建議最佳團(tuán)隊(duì)規(guī)模應(yīng)該在10人或更少。
另一個有趣的地方是,最佳評分項(xiàng)目背后的方法既不是敏捷性的(強(qiáng)調(diào)迭代開發(fā)),也不是瀑布式的(強(qiáng)調(diào)預(yù)先計劃),而是一種混合方法,它具有廣泛的預(yù)先分析,然后是簡短的迭代編碼沖刺。
CAST還指出,涉及“跨應(yīng)用程序的多層多組件”的軟件架構(gòu)類的代碼質(zhì)量更難測試;但結(jié)構(gòu)質(zhì)量才是導(dǎo)致大多數(shù)運(yùn)營問題的原因。
慢編碼
編寫防彈代碼的速度依然較慢,因此開發(fā)時成本較高,這也是軟件質(zhì)量仍然如此參齊不齊的一個原因。眾所周知,缺陷發(fā)現(xiàn)得越晚,修復(fù)缺陷的成本就會越高,不過,由于差異很大,很難給出缺陷造成具體多大影響的通用數(shù)字。
在web應(yīng)用程序的DevOps流程中,我們可以進(jìn)行代碼更改、自動測試并快速部署到生產(chǎn)環(huán)境中,所以修復(fù)最近發(fā)現(xiàn)的bug的成本可能不算太高。但這里有個極端的例子,1996年阿麗亞娜5號火箭(Ariane 5) 在發(fā)射時發(fā)生了爆炸,這是由64位變量轉(zhuǎn)換為16位變量后數(shù)量太大導(dǎo)致系統(tǒng)無法容納引起的,這個bug的直接經(jīng)濟(jì)損失約為5億美元。
而日常生活中呢?根據(jù)IT軟件質(zhì)量聯(lián)盟(Consortium for IT Software Quality)的數(shù)據(jù),除去技術(shù)債務(wù)后,所謂的“低質(zhì)量”軟件給美國經(jīng)濟(jì)造成2.26萬億美元的損失。再細(xì)分一下,軟件故障造成的損失占該數(shù)字的37.46%,查找和修復(fù)缺陷的任務(wù)占16.87%。
對于任何公司來說,在生產(chǎn)過程之前,找到bug并進(jìn)行修復(fù)是一個優(yōu)先事項(xiàng),因?yàn)樾迯?fù)bug或處理后續(xù)問題所涉及的成本會隨著時長的延長而增加。
因此,生產(chǎn)過程中的bug可能會帶來嚴(yán)重的長期成本。如果bug出現(xiàn)在其他軟件所依賴的軟件或固件中,例如API,那么第三方開發(fā)人員可能必須要圍繞該bug編寫代碼。然后這就會出現(xiàn)兼容性問題,因?yàn)樾迯?fù)這個bug可能會破壞其他軟件。
當(dāng)今互聯(lián)時代與早期軟件開發(fā)時代的一個關(guān)鍵區(qū)別是,部署補(bǔ)丁很容易,而且通常是自動化的。由于使用了一些技術(shù),例如提示用戶將崩潰數(shù)據(jù)提交回開發(fā)人員,或者使用“飛行記錄器”代理捕獲應(yīng)用程序狀態(tài)并準(zhǔn)確記錄崩潰時正在執(zhí)行的代碼,現(xiàn)在人們更容易跟蹤導(dǎo)致崩潰的bug。通過快速發(fā)現(xiàn)和修復(fù),可以減輕明顯的缺陷。
在McConnell的言論發(fā)表了幾十年后,盡管經(jīng)歷了許多變化,但我們遇到的軟件質(zhì)量挫敗仍然存在:編寫可靠代碼所需的是知識和工具,但包括財務(wù),截止日期,錯誤管理,技能短缺和處理遺留代碼與系統(tǒng)的人為因素仍意味著代碼質(zhì)量的不均衡。
考慮到軟件的巨大和日益增長的重要性,bug的持續(xù)肆虐既發(fā)人深省又令人不安。實(shí)現(xiàn)最小化部署補(bǔ)丁的負(fù)擔(dān)的系統(tǒng)當(dāng)然是有幫助的,但是從源頭上提高軟件質(zhì)量才是最關(guān)鍵的。
- 蜜度索驥:以跨模態(tài)檢索技術(shù)助力“企宣”向上生長
- 美媒聚焦比亞迪“副業(yè)”:電子代工助力蘋果,下個大計劃瞄準(zhǔn)AI機(jī)器人
- 微信零錢通新政策:銀行卡轉(zhuǎn)入資金提現(xiàn)免手續(xù)費(fèi)引熱議
- 消息稱塔塔集團(tuán)將收購和碩印度iPhone代工廠60%股份 并接管日常運(yùn)營
- 蘋果揭秘自研芯片成功之道:領(lǐng)先技術(shù)與深度整合是關(guān)鍵
- 英偉達(dá)新一代Blackwell GPU面臨過熱挑戰(zhàn),交付延期引發(fā)市場關(guān)注
- 馬斯克能否成為 AI 部部長?硅谷與白宮的聯(lián)系日益緊密
- 余承東:Mate70將在26號發(fā)布,意外泄露引發(fā)關(guān)注
- 無人機(jī)“黑科技”亮相航展:全球首臺低空重力測量系統(tǒng)引關(guān)注
- 賽力斯發(fā)布聲明:未與任何伙伴聯(lián)合開展人形機(jī)器人合作
- 賽力斯觸及漲停,汽車整車股盤初強(qiáng)勢拉升
免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進(jìn)一步核實(shí),并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實(shí)內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。