作者:王旭
導語:
在前不久的上海外灘大會上,螞蟻資深技術專家、Kata Containers創始人王旭向參會者分享了開源、開放協作與軟件安全可信的話題,本文根據演講內容編輯整理而成。
正文:
今天,我想在這里和大家探討開源與安全的話題。在過去,人們一直有一些疑問:開源是否比閉源更安全?開源項目如何保證自己的安全?如何通過開源社區促進業界改善安全性?
這里,我將以Kata Containers項目以及螞蟻基礎設施團隊的實踐為例,對這些問題做一些探討,來看看社區和業界是怎么做的。
開源項目如何保證安全性?
首先是開源比閉源更安全嗎?
你可能從哪里聽說過:開源軟件相比閉源軟件的一個優越性在于,開源軟件更安全。
開源運動的一位頗具話題性的早期領軍人物Eric S·Raymond,在他的著作《大教堂與集市》中寫道:
“在一群足夠多的beta測試者與共同開發者的情況下,幾乎所有問題都可以被快速定位,并且由某個人迅速解決。”
“有些所謂安全系統,只有在其不為人所知時才是安全的,當心這些虛假的隱秘性。”
這些論點幾乎是無可辯駁的。然而,爭論就在于——開源是否意味著更多專業的review,更多的人看到代碼甚至是發現漏洞了,他們是否會第一時間來幫助開源項目改善質量而非第一時間利用漏洞進行入侵?開源項目是如何第一時間處理漏洞的?
下面讓我們來看一個例子。
這是Kata Contaienrs 項目的 VMT 流程圖,描述了項目漏洞事件響應團隊接收到安全報告后是如何處理的。
所謂VMT,是 Vulnerability Management Team,這是一個應對安全事件的“特權”工作組,成熟的、社區化的開源項目都有這樣一個核心團隊。當安全研究人員發現在他們的研究中發現項目存在安全漏洞的時候,會向VMT工作組發出報告,而VMT收到之后,會在尋求修復方案的同時,對問題進行評估、去權威機構分配CVE編號,在patch merge之后,還需要確保主要用戶的安全,然后再對外公開修復信息。
這里的一個關鍵點是,開源項目VMT團隊和安全人員的配合。只有規范運作的開源項目和白帽子們良好互動,才能真的做到第一時間修復漏洞、保護用戶,而不是放出0-day漏洞。這中間的響應流程,即使對于“開源”軟件,也是不開放的。
所以,這里我們的結論是——不是你把代碼放在 GitHub 上開源了,安全就隨之而來了,你要有吸引安全人員的活躍社區和可以響應問題的機制。這里我們知道,有些個人化的開源項目是沒有這樣的響應機制的,這樣的開源項目并沒有讓用戶得到安全,相反,一旦有大量用戶使用,得到的是很多驚險。
VMT機制保證了開源項目本身的安全,那么,在一個龐大的開源社區,比如云原生社區,它由數量繁多的開源項目組成生態,關于社區的整體安全性,還會有哪些有趣的互動呢。
如何提升開源社區的安全水位
開源的一個便利之處就是,如果你覺得哪里不夠好,可以自己去彌補。在云原生 landscape 里,搜一下安全相關的品類,立刻可以得到一大片的開源安全組件或工具:
需要說明的是,這些項目不是預先設計的目標,而是社區互動產生的結果。它們反映了一個自組織生態里的演化規律,而不是操作守則。在開源協作里,這樣的項目會自然的涌現出來。
這里,我想以Kata Containers為例,來介紹下如何開發一個開源項目并融入社區。
首先我先來簡單介紹一下 Kata Containers——
Kata Containers 首先是一個容器運行時引擎,在生態中的位置和 runc 是一致的。但是,和 runc 不同的是,Kata 用輕量級虛擬化技術來做隔離,這個強隔離帶來的不僅是安全隔離,也包括性能隔離和故障隔離。
不過我要強調的一點是,Kata 仍然是一個容器引擎,在系統中是完全對等替換 runc 的,對云原生應用來說,它是完全透明的,即使從性能和開銷角度說,我們也已經對它進行了很多輕量化的改造。
所以,我們說,它同時兼有虛擬機和容器兩者的優點,secure as VM, fast as containers。
三年來,Kata Containers最讓我感到驕傲的,是通過開源社區,我們撬動了社區里的其他大玩家,提升了整個云原生世界的安全水位,利用開放協作提升了云原生領域的安全性、改善了社區的信任。
Kata創立之前的虛擬化容器技術的發展并不快。2015年上半年,我們就開源了 hyperContainer 和 runV,Intel 也同時開源了 clear containers。不過,當時我們的影響還是非常有限的,想加入CNCF都被拒之門外,但我們還是在 Kubernetes 社區里制造了一些影響。比如在 2016 年的時候,我們和 kubernetes node 團隊一起推動了 CRI 接口,來抽象化容器引擎。
2017年9月份,我在一個會議上遇到當時 Intel OTC 的時任 GM,也是 Intel 的 SSP VP, Imad Sousou,我們決定一起合作一個開源項目,在基金會的幫助下,我們一起工作了三個月,最終在2017年12月的 KubeCon 大會前一天,發布了Kata Containers這個項目。
隨后的故事可以用峰回路轉來形容,在2018年上半年,也就是緊接著Kata發布之后的下一次KubeCon,Google發布了gVisor安全容器項目,再之后半年,在2018年AWS發布了輕量虛擬化VMM FireCracker,并引用了 Kata Containers項目來做對比。而在這之間的2018年中,Google 推動 containerd 改進了 Shim API,來進一步讓安全容器可以和runC一起被支持,隨后這個被稱為 shim-v2 的 API 也得到了 CRI-O 的支持,加上 RuntimeClass 和其他一些改進,可以說,2018年是安全容器的爆發年。
今天,Kata 擁有了不小的用戶社區,得到了 RedHat,SuSE 和 Ubuntu 三大主流 distro 的支持,也在很多不同行業進入了生產之中,不僅我們螞蟻、阿里用上了,百度的 Kata 案例也在去年的 OpenInfra Summit 上得到了超級用戶大獎,在今年10月19日的OpenInfra Summit大會上,我在Keynote里會正式宣布Kata Containers 1.x在12個穩定發布之后,正式發布2.0版本。不僅 Kata,Google GKE 的用戶還可以用上 gVisor,它幫助用戶躲過了前不久的 CVE-2020-14386 漏洞。
可以說,開源的力量就在于此——代碼只是它對世界的影響力的冰山一角,在水面之下的哪些開放協作和互動,讓社區的用戶受益,得到了更多的好項目,讓社區向更好的方向發展。
基金會如何讓開源世界更安全?
要想促進整個開源世界的安全,開源社區的治理組織不能不提。其中,基金會不僅可以接納安全項目,還可以安全為目的建立基金會,將天南海北的開發者聚集到一起,攻克共同的安全課題,也是開源安全的重要一環。
讓我們以Linux旗下的機密計算聯盟CCC為例來說明,螞蟻通過將項目捐獻給CCC、參與這樣的組織從而對開源社區的安全作出貢獻。
在數據安全和隱私保護越來越受到重視的今天,機密計算(Confidential Computing)是一個具備廣泛應用前景的前沿技術領域,可信執行環境(Trusted Execution Environment)作為其重要分支,受到業界科技巨頭的重視。
機密計算聯盟就是在這樣的背景下誕生的,CNCF中國區總監Keith Chan告訴我們:CCC的任務和目標之一是在公有云上實現機密計算,這樣我們可以做到以前無法做到的事情,其中比較典型的就是在云上運行敏感數據的計算,機密計算將作為安全體系的核心手段來保護這些敏感數據。
要實現這一目標并不容易,因為機密計算仍然處于早期,業界鮮有應用,幾家企業各自推進自己的研發應用,但難以對業界形成示范效應。因此需要基金會這樣的組織來推進這一過程。
CCC希望通過開源開發的原則聚集全世界的人一起來共建機密計算的技術和平臺,具體的做法包括:
l 定義機密計算,并通過開源的方法讓全世界的人可以參與,構建生態圈,加快提高市場的接受度和采用率;
l 通過開源的方法簡化企業對機密計算應用的開發和管理;
l 定義一些基礎的服務和框架,并讓開發者能夠放心的采用這些技術。
作為CCC關鍵成員的螞蟻集團也將捐贈Occlum LibOS,這是來自中國的第一個機密計算開源項目,也是目前易用性最好的機密計算LibOS。
通過將其捐贈給基金會,Occlum將成為社區主導的開源項目,將吸引更多業界專家共建,并將和社區其它開源項目合作,如與HyperLedger的avalon項目的合作,在更廣泛的應用場景中落地。
另外,不僅僅是Occlum,螞蟻集團還正式開源了KubeTEE,解決機密計算在集群中的問題,還有正在研發中的HyperEnclave,解決TEE部署環境問題。這些機密計算的組件,也是螞蟻對提升整個社區和業界的安全性所做的努力。
正是有開發者、組織、業界機構的共同努力,才讓開源項目和社區更加安全,而更安全的開源社區,也將讓整個世界變得更加安全。
