Apache HTTP服務(wù)器是世界上最常見的Web服務(wù)器軟件,這點是明擺著的。據(jù)最近一項調(diào)查顯示,全世界運行Apache HTTP的網(wǎng)站數(shù)量超過4.2億個。鑒于數(shù)字如此驚人,我們自然很好奇地想了解Apache背后的更多詳情。
我們Pingdom網(wǎng)站的人員都是Apache HTTP Web服務(wù)器的擁躉,因為我們用它來運行我們的主網(wǎng)站Pingdom.com。所以我們逮住機會、興致勃勃地采訪William A. Rowe Jr.也就不足為奇了,前不久他還在完全志愿者組成的Apache軟件基金會擔(dān)任HTTP服務(wù)器項目副總裁一職。他在近12年一直效力于Apache軟件基金會,擔(dān)任過不同崗位,包括2007年至2009年任職基金會董事。
一種錯誤的想法:開源不大安全
首先,我們向Bill(注:William的昵稱)拋出了人們通常所持的這個想法:由于在Apache HTTP服務(wù)器等開源項目中,源代碼向公眾開放,所以這意味著開源不大安全。這種觀點認為,實際上,誰要是想鉆運行開源軟件的系統(tǒng)的空子,只要查看代碼,就能弄清楚如何闖入進去。另一方面,閉源軟件天生要來得更安全,因為代碼不是誰都可以隨隨便便查看的。
William A. Rowe Jr.,軟件基金會HTTP服務(wù)器項目前副總裁
Bill答復(fù):“很顯然,這是一種錯誤的認識。”
他繼續(xù)說:“公開披露自己的部分源代碼,這其實是像微軟這些閉源產(chǎn)品開發(fā)公司最不擔(dān)心的。它們更加擔(dān)心的是有人用間諜手段刺探源代碼,或者通過滲透測試發(fā)現(xiàn)軟件缺陷(bug);這種情況下,它們不知道自己的源代碼在接受審查。”
他解釋,如今,針對軟件的安全審查在很大程度上實現(xiàn)了自動化。Bill說:“誰都可以進行這樣的審查;由于審查是自動化的,所以可以重現(xiàn)。”
Apache HTTP服務(wù)器用戶社區(qū)經(jīng)常被邀請進行這樣的審查,自動掃描代碼,一旦發(fā)現(xiàn)了異常,就提醒相應(yīng)的項目組。發(fā)現(xiàn)的異常有可能是明確的安全漏洞,也可能不是明確的安全漏洞,但是應(yīng)予以關(guān)注,因為它可能會成為一個明確的安全漏洞。
Bill的觀點是,黑客針對二進制代碼做這樣的事不是重大問題,無論二進制代碼是用閉源代碼編寫的,還是用開源代碼編寫的。他表示,簡而言之,壞人在繼續(xù)搗鼓閉源產(chǎn)品,正如他們在以同樣的手法搗鼓開源產(chǎn)品。
針對逆向工程和反編譯等方面的牢騷在安全領(lǐng)域其實算不得什么。
他補充說:“針對逆向工程和反編譯等方面的牢騷在安全領(lǐng)域其實算不得什么;實際上,對研究安全人員來說只會適得其反。安全研究人員在努力化解問題。要是沒有源代碼,也就缺乏必要的透明度了,那樣他們無法搞清楚可以采取什么化解措施,一開始就避免問題,或者無法搞清楚他們已經(jīng)發(fā)現(xiàn)的漏洞有什么樣的實際影響。”
你可能會認為,Bill為其中一個比較知名的開源軟件項目工作了這么久,其立場肯定會偏袒一方。別犯想當(dāng)然的毛病,那樣很容易擯棄他的觀點。
他的觀點是,閉源軟件實際上妨礙了安全研究人員了解安全漏洞的范圍。Bill表示,如何找出安全漏洞在開源與閉源之間區(qū)別不是很大。這往往就是這個過程:建立任意模式,然后看看會不會引起未預(yù)期的后果。
#p#副標題#e#
Apache在內(nèi)部如何處理安全問題?
隨后我們稍稍改變了話題的方向,著重探討總體上的Apache基金會和具體上的HTTP項目在內(nèi)部如何處理安全問題。
在Apache肩負處理安全問題這個重任的是Apache軟件基金會安全小組(ASF Security Team),Bill是這個團隊的成員之一。他表示,開始,“我們還以為只會接到關(guān)于httpd的安全事件報告。但情況很快就發(fā)生了變化。”
安全團隊的規(guī)模慢慢擴大到了隨時都有5名活躍成員,臨時委員會有10名成員。Bill解釋:“我們實際上扮演了調(diào)度員的角色。”
至少在外人看來,這個過程似乎很簡單:“團隊確認我們確實遇到了酷似安全事件報告的問題,對不是安全事件報告的任何問題進行排查,然后將排查結(jié)果交給相應(yīng)的人員或部門。”
“如果我們接到公眾反饋上來的零日安全漏洞,或者實際的重現(xiàn)情形——通過另一家機構(gòu)悄悄傳遞給我們,我們隨后會轉(zhuǎn)交給某個相應(yīng)的Apache項目;我們成為了這個項目的資源中心,幫助他們了解你與報告這個事件的那一方如何互動。”
然后,視項目會不會重現(xiàn)報告的安全漏洞而定,安全團隊幫助項目應(yīng)對安全研究人員(通常是報告安全漏洞的那個人或那家組織)。Bill解釋:“我們對他們說,嘿,在我的下一個版本中,我們會拿出修復(fù)程序,你在那個時間點之前別用這個版本,這是我們的時間表。”
我們并沒有試圖有意隱藏我們的代碼執(zhí)行什么樣的功能。
“我們并沒有試圖有意隱藏我們的代碼執(zhí)行什么樣的功能,而我們能做的就是修補漏洞,我們只是說自己在修復(fù)軟件缺陷,而不是把任何注意力引向這個事實:舊代碼中存在安全問題,安全問題是這個樣子。”
據(jù)Bill聲稱,有些人在密切關(guān)注重大開源項目(如Linux內(nèi)核、httpd及其他項目)提交的代碼,一心尋找在不遠的將來可能堵上的漏洞。Bill解釋:“如果他們能找到我們正努力堵上的漏洞,他們想找到機會窗口,以便可以鉆這個安全漏洞的空子。”
“所以我們扮演的是資源中心,盡量化解困惑、化解每一個項目的壓力——我們在任何時間有100個左右的項目,每個項目都在處理各自的安全問題,無論是在排查安全問題,還是迅速處理安全問題。”
我們還應(yīng)補充一下,安全團隊在努力幫助確認看起來像特定問題域問題的某些問題,比如最近的散列安全漏洞(http://arstechnica.com/business/news/2011/12/huge-portions-of-web-vulnerable-to-hashing-denial-of-service-attack.ars)。隨后,安全團隊會查看其他Apache項目可能會受到什么影響,團隊可以在多大程度上與別人共享有關(guān)的安全報告,即便受直接影響最大的那個項目正在處理當(dāng)前的安全漏洞。#p#副標題#e#
個人能選擇感興趣的事來做
無論從哪個標準來看,Apache HTTP都是一個成熟的軟件項目,在問世近17年后,最近迎來了版本2.4。我們請Bill回顧一下他在Apache基金會和HTTP項目時候的情況,現(xiàn)在安全方面是不是在占用更多的時間。
項目越成熟,你在表面上的變化方面談?wù)摰迷蕉唷?/strong>
他簡短有力的回答是:“當(dāng)然就歷史久遠的項目而言,就我個人而言,答案是肯定的。項目越成熟,你在表面上的變化方面談?wù)摰迷蕉啵l(fā)布新的特性方面談?wù)摰迷缴伲瑫悠蛴诰S護狀態(tài),這里來些優(yōu)化,那里有些安全問題。”
“而Apache上下的每個人都可以選擇感興趣的事來做;我是指,所有的代碼開發(fā)者、所有的代碼捐獻者都被鼓勵致力于項目中對他們個人來說最有興趣的那些方面。在一些情況下,那是付錢請他們做的工作;在另一些情況下,那也是對他們的雇主或下游客戶來說最感興趣的工作。”
Bill表示,這意味著,在HTTP項目或其他任何項目從事安全方面工作的人往往是傾向于對安全、漏洞和維護有著濃厚興趣的那些人。他解釋:“他們只想開發(fā)出那些修復(fù)程序,然后發(fā)布給公眾。”
“我們通過關(guān)注調(diào)查來了解整體情況。”
眼看我們的采訪就要結(jié)束,與Bill的討論再次將方向轉(zhuǎn)向Apache主導(dǎo)Web服務(wù)器軟件市場的現(xiàn)實。據(jù)NetCraft最近的服務(wù)器調(diào)查顯示(http://news.netcraft.com/archives/2012/03/05/march-2012-web-server-survey.html),運行Apache HTTP的網(wǎng)站占總量的65%以上。
我們問Bill是不是平時在看諸如此類的調(diào)查和統(tǒng)計數(shù)字。
Bill笑著說:“作為一家基金會,不去看。但是我們確實有一些具體的公眾人員,他們對名聲和營銷很關(guān)注。當(dāng)然,我們醉心于確保Apache和Apache基金會有好的名聲,維持好的名聲,為此我們致力于開發(fā)優(yōu)秀代碼。但是只有知道我們在開發(fā)優(yōu)秀代碼的人才關(guān)心這個。”
當(dāng)然,我們醉心于確保Apache和Apache基金會有好的名聲,維持好的名聲,為此我們致力于開發(fā)優(yōu)秀代碼。
在這個龐大的現(xiàn)有用戶群中,版本2的Apache HTTP占了92.2%。更具體地說,今年2月底的一項調(diào)查顯示(https://blogs.apache.org/httpd/entry/apache_http_server_usage_survey),最常見的Apache HTTP版本是2.2,占了89.2%。
Bill更感興趣的是這些數(shù)字,而不是市場份額占多少百分比。他表示,他主要關(guān)注升級周期和升級方面的滯后:“我關(guān)注2月的那項調(diào)查;我可以看到,2.2.3仍得到廣泛采用;這個版本的代碼至今已有五個年頭了,”他說。
Bill解釋:“我們在關(guān)注紅帽或其他核心操作系統(tǒng)發(fā)行版,它們推出了重大版本,人們在安裝它,其實不想更改。而從安全的角度來看,那些2.2.3版本不是特別容易受到攻擊,因為它們已經(jīng)打上了一系列增量補丁。”
Bill在接下來的一兩個月會關(guān)注升級和降級模式。他會研究人們在如何采用版本2.4,然后研究那些升級的人當(dāng)中有多少比例在一段時間后會回到之前的版本。
他解釋:“我在這方面研究了好多年,這有助于我了解人們的期望。所以,他們期望新版本能夠與他們想象的那樣順暢運行。”
所以,盡管Bill未必關(guān)注調(diào)查,看看Apache是不是仍是龍頭老大,但他也關(guān)注調(diào)查,了解用戶在版本采用方面處于怎樣的情況。他說:“我們直接從用戶那里得到許多那樣的反饋,但是那些只是孤立的情況。我們通過關(guān)注調(diào)查來了解整體情況。”
“我們看到別人曇花一現(xiàn)。”
最后,與Bill討論的話題轉(zhuǎn)到了直接面對Apache HTTP的競爭對手。
盡管Apache牢牢把持著Web服務(wù)器軟件市場領(lǐng)頭羊的地位,但這不是說競爭對手在坐以待斃。比如說,NGINX離取代微軟IIS成為應(yīng)用第二廣泛的Web服務(wù)器軟件指日可待。
Bill解釋:“我其實不擔(dān)心Apache在這方面的百分比,也不關(guān)心自己的百分比這個月比上個月是否增加了一點。”
我們看到Sun Solaris Web服務(wù)器曇花一現(xiàn);我們看到網(wǎng)景(Netscape)以及其他眾多競爭對手曇花一現(xiàn)。
他補充說:“我們看到其他對手只是個過客,而這證明了開源到底具有什么樣的魅力。我們看到Sun Solaris Web服務(wù)器曇花一現(xiàn);我們看到網(wǎng)景以及其他眾多競爭對手曇花一現(xiàn)。”
Bill的觀點是,Web服務(wù)器領(lǐng)域總是會出現(xiàn)新的玩家。他甚至希望是這樣,因為這促進了競爭,新的項目在嘗試新的技術(shù),而沒有現(xiàn)有項目面臨的種種制約。
至于NGINX方面,Bill補充說,看到NGINX變得大行其道,自己很激動:“所以,NGINX進來,展示了新的活力,說‘我們不會成為所有Web服務(wù)器中最靈活的,而是會關(guān)注特定的問題。’我預(yù)計他們會做得相當(dāng)好。”
Bill最后說:“我很高興,我十年來參與的這個項目仍在Web服務(wù)器領(lǐng)域擁有支配地位。而我主要關(guān)心的是,我參與的這個項目是不是可以滿足一大批人的要求。”
Apache HTTP Web服務(wù)器強者愈強
很顯然,Apache HTTP服務(wù)器是Web服務(wù)器領(lǐng)域的領(lǐng)頭羊,盡管它再過幾年即將迎來20周年。Apache在調(diào)查(如NetCraft的調(diào)查)中占有絕對的市場份額不僅清楚地表明了這一點,它在開發(fā)人員及從事互聯(lián)網(wǎng)及網(wǎng)絡(luò)行業(yè)的其他人中擁有絕對的心靈占有率也清楚地表明這一點。
很感謝Bill Rowe如此大方地抽時間接受我們的采訪,希望他及Apache團隊的其余成員在將來有好運。由于全世界數(shù)以百萬計的網(wǎng)站依賴這些人開發(fā)和維護的軟件,我們知道,許多人會與我們一樣對Apache的每個人說“繼續(xù)好好干”。
英文原文鏈接: http://royal.pingdom.com/2012/03/26/how-apache-http-web-server-secure-interview/
原文鏈接:http://server.51cto.com/sCollege-326753_2.htm
