软件风险：保护物联网中的开源

现在全世界有 70 亿台物联网设备在使用。 CAST 的 Lev Lesokhin 表示，到 2025 年，这一数字预计将增加两倍，达到前所未有的 215 亿台设备 .物联网 (IoT) 设备市场已经爆炸式增长——现在，想要在实施物联网的竞赛中获利的物联网设备制造商迫切希望将他们的产品推向市场。在产品销售的持续激烈竞争中，并非所有用于物联网设备的软件都按照最高标准制作。

为了将新产品和功能快速推向市场，几乎没有时间编写自定义代码，尤其是当可以从 GitHub 等开源社区免费下载预先设计的包和框架时 和 Apache .但是，对于物联网代码，就像生活中的一切一样，您可以收回投入其中的内容。 CAST 的 2018 年软件智能报告发现，许多开源项目在遵守安全规则方面表现不佳。

免费的开源代码并没有内置防水的安全性。在市场竞争中，许多公司为了速度牺牲了安全性，放弃了考虑此类代码的结构和内部工作原理的严格安全检查。每台物联网设备，全部 70 亿台，还必须运行足够强大的安全软件，以抵御黑客活动。

任何人都可以编写开源代码。为物联网设备编写的软件中的大部分代码也是由独立设备的嵌入式软件世界的工程师编写的。这与为处理大型企业级交易数据而构建的软件形成鲜明对比，物联网设备是其中的一部分。在后一种情况下保护数据需要一种不同的专业知识和技能，而所有开发人员都不具备。

考虑到任何人，无论开发背景如何，都可以为开源软件做出贡献，确保安全和质量标准得到维护要困难得多。低效、草率甚至恶意代码可能会被忽视。

如此多的缺陷，但买家不太可能注意到。许多人通过商业视角看待物联网设备——这是实现战略目标的一种手段，例如提高生产效率。具有讽刺意味的是，虽然物联网设备非常先进，足以对抗其所有者，但它们通常被认为不够先进，无法抵御攻击。

全世界的目光都在你的代码上

专有内部代码中确实存在缺陷，但只有签约编写代码的开发人员可能知道这些缺陷。源代码将是私有的，任何窥探者都无法访问。然而，正如开源对于企业来说很容易访问一样，对于其他所有人来说也是一样。在将代码合并到物联网设备所依赖的代码库之前，许多开发人员和黑客可能已经查看过代码。

早在 2013 年，当攻击者发现该连锁店使用的气候控制系统存在弱点时，美国零售连锁店 Target 就发现自己因信用卡详细信息被盗而损失了 2.2 亿美元（1.94 亿欧元）。

凭据从气候控制系统供应商处被盗，并且在 Target 部署时没有改变，使每个已安装的系统完全易受攻击。

在毁掉自己之前先检查一下自己

虽然漏洞永远无法完全消除，但可以通过三个关键步骤来降低可能性：

至关重要的第一步是制造商了解他们交付的物联网软件中的内容。开源，如果谨慎使用，会非常有益。但是，为了保护从制造商到最终用户的所有相关人员，应将投入使用的代码的出处追溯到其根源，并与已知漏洞进行交叉引用。

应该采取真正的谨慎和尽可能多的时间。一旦制造出来，事后发现的任何问题都不太可能得到纠正，就像在 Target 的情况下发生的那样，系统相对容易访问。虽然物联网设备的生产商可能渴望领先于竞争对手，但他们应该意识到任何问题都可能存在很长时间。

需要对软件进行端到端分析，因为设备上的代码不再是独立的。扫描完成后，公司应立即开始工作。解决任何和所有突出的漏洞，并以低弹性加强交易。目标应该是尽可能多地解决代码的技术债务，创建一个强大的系统，经得起时间的考验并保护其未来的所有者。

最后，请记住，Target 气候控制系统供应商的办公室最终被美国特勤局访问，该公司仍在调查中，花费了 1850 万美元（1630 万欧元）。这不应该发生在其他任何人身上，而且可以避免。

此博客的作者是 CAST 战略与分析执行副总裁 Lev Lesokhin。