网络安全领域开源文化探讨

背景

自进入网络安全领域以来，我了解到大量开源网络安全工具，很多从业者的知识体系也是建立在开源工具基础之上的。

十年前，大多数开源项目都是由个人用爱发电，很少有公司出现在开源领域，能在开源产品中创造收入就更少了。但随着时间的推移，一些很小的项目逐渐发展演变成了大公司，Elastic就是非常好的例子。

如今越来越多的科技公司将内部的项目开源，并且投入资金支持符合公司愿景的开源项目，加速了开源领域的进步和发展。这种环境也使越来越多的开源创始人可以获得较好的收入来支撑开源项目，比如与公司建立合作关系，或者受雇于大公司成为开源计划的负责人。

在国内的网络安全背景下，投资优秀开源项目的公司比较少，部分企业甚至一方面抵触开源工具，一方面又利用开源项目构建商业产品。但放眼整个网安领域，这种情况在后续将如何发展？

网络安全中的开源基础

开源项目有哪些类型？

当前开源项目没有标准的分类，最常见可分为以下两类：

1、由个人或者小团队兼职推动的项目，这类项目通常只是为了解决问题或者是开源人员希望分享知识、提升行业知名度等原因发起的。

2、由公司发布和维护的项目，这类项目通常是作为公司战略决策的一部分来驱动的。通过让用户开始使用免费的产品版本，在开源社区中获得知名度，以此来不断提升企业的产品竞争力。

开源维护人员的动机分析

不同的人发起开源的目的都不相同，常见的驱动因素包括：

1、分享知识和帮助行业提高安全性的愿望

2、参与开源可以提高知名度、提高就业价值，如果开源项目的规模较大，在工作面试的谈判比较有优势

3、参与开源是与安全社区中的人们建立联系的一个很好的切入点

4、了解攻击者使用的工具

5、开源协议限制，比如GPL族协议下，开发人员被要求分享更改后的代码。

开源如何塑造网络安全的未来

鼓励知识创新

在过去几年，国外的开源产品和商业产品的边界变得比较模糊，亚马逊云内置了多种开源产品，比如Elasticsearch。部分企业也会购买开源工具的企业版。最重要的是，开源鼓励了安全行业内的知识共享，促进最佳实践的横向迁移。

Splunk的威胁研究团队将内部的安全内容进行开源，其他从业人员可以了解Splunk所做的事情，包括威胁检测技战术、Playbook等。该团队还积极参与了Red Canary的Atomic Red Team项目。Red Canary是一家托管检测和响应 (MDR) 提供商，ART的开源使MDR朝着成熟的愿景迈近了重要的一步。

开源与保护知识产权是背道而驰的。20年前Windows的CEO认为开源是软件和知识产权业务的“癌症”，20年后，微软Azure的安全团队为开源领域做出了巨大的贡献，比如：Microsoft Sentinel and Microsoft 365 Defender

开源使安全专业人员能够高效地分析和共享威胁情报。MISP、OpenCTI、OpenTAXII等开源威胁情报工具可帮助组织识别、评估、监控和应对不断增长的网络威胁。

对安全行业的成熟起着推动作用

过去，安全只是一个工具：“我需要安装什么才能保证安全？”，现在，安全已经演变成一种系统化的理念：“将数据统一收集到一起进行分析，了解组织发生的安全事件，确定如何检测恶意行为，并做出响应”。

目前网络安全行业正在走向成熟，表现方式就是从基于承诺的安全转向基于事实的安全。

早起安全人员通过开源工具快速构建安全运营基础能力。现在开始期望这些开源工具具备商业工具相同级别的能力，促使开源工具逐渐向安全基础设施发展，比如：LimaCharlie（安全基础设施即服务）、Tines（安全自动化）、SOC Prime（威胁检测）、GreyNoise（误报分析）、SCYTHE（攻击仿真）和SafeBreach（持续安全验证平台）等产品。这类工具逐渐成为类似于NGINX一样的安全基础设施。