每个人都在享受由网络时间协议带来的便利,但该项目却很难为其维护者或者参与开发各方带来收益。
世界上存在着两类开源项目:一些由企业负责赞助,另一些则属于“爱的付出”。事实上,还有第三类项目存在:即具备一定程度支持,但却始终在寻求下一位赞助者的项目。
部分开源项目得到广泛使用,这意味着一旦其出了问题,每个人都会受到负面影响。OpenSSL就是这样一类项目; 当Heartbleed漏洞被正式披露后,各组织机构都在想尽办法对其网络设备及软件内的安全漏洞进行修复。网络时间协议(简称NTP)在现代计算领域同样扮演着极为重要的角色,其专门负责对不同服务器及设备上的时钟进行同步,从而确保其步调一致。然而事实上,NTP项目面临着资金及支持资源严重匮乏的问题。
NTP已经拥有超过30年历史——其可能是目前运行在互联网上的年纪最大的代码库了。尽管存在些许小障碍,但其仍然在继续工作。不过该项目的前景则不容乐观,志愿者人数的大幅减少迫使Harlan Stenn不得不经常独力完成相关工作。由于支持有限,该项目能够实现的目标也就越来越少,意味着其维护力度下降且创新几乎成为不可能。
“NTF的NTP项目仍然处于资金严重不足的状态下,”该项目团队在最近的一份安全倡议中写道。“谷歌公司今年已经不再提供赞助,且目前Linux基金会的核心基础设施项目只能支持Harlan每周用于NTP开发的全部工作时长中的约25%。”
去年,Linux基金会通过核心基础设施项目重新审定了新一年内面向NTP的资金赞助,但其可怜的额度显然远远不够。
赞助商的制度对该项目产生了致命的影响。其最近发布的ntp-4.2.8p0更新针对的是今年6月即披露的一项漏洞。而直到今年9月,发现该漏洞的研究人员仍然能够通过单一恶意篡改数据包利用这一已经公布长达80天的漏洞。由于漏洞的空窗期已经超过100天,Magnus Studman担心更多拖延会导致其被“恶意人士所利用”。
Stenn的反应确实相当迟钝。“实际上,我们仍然面临着严重的资源不足问题。大家可以向我们提出问题,且/或加入我们帮助完成工作,且/或邀请他人伸出援手,”他写道。
研究人员虽然报告了相关安全问题,但却仍然没有足够的开发者帮助Stenn完成修复、补丁测试以及文件变更等工作。Linux基金会的核心基础设施项目支持并不包含对网络时间安全(简称NTS)以及通用时间戳API等新项目及其遵循现有最佳实践与标准的调整性工作。来自核心基础设施项目的支持范畴只包括“支持开发者以及基础设施。”
作为互联网工程技术任务组(简称IETF)的现有草案版本,NTS为管理员们提供途径以提升NTP项目安全性水平,从而保护时间同步机制。这一机制利用数据报传输层安全(简称DTLS)以为NTP提供加密安全机制。而通用时间戳API则将开发出一种新的时间戳格式,其中包含除日期与时间之外的更多信息,从而提升实用性。其目标是开发出一种更加有效且可移植的库API,从而利用这些时间戳。
众多开源项目与倡议都受到支持、赞助、财务及人力资源不足问题的困扰。正因为如此,开源安全项目才一直在努力与企业间建立联系。企业当然不希望将现有应用建立在某个未来可能不再受到支持的项目之上。在理想情况下,作为核心基础设施内关键性组成部分的开源项目应当拥有永久性赞助资金。
NTP在基础设施当中扮演着重要角色,几乎每个人都在享受着这一免费项目带来的便利。NTP目前不仅需要维护代码,更需要更多人加入进来以调试bug并推动软件发展。如果没有更多帮助,该项目的未来将一片迷茫。事实上,NTP或者是建立并负责运营该项目的网络时间基金会应该不难找到合适的企业赞助商及贡献者。
“如果准确且安全的时间同步机制对您或者您所在的组织机构非常重要,请帮助我们并以此帮助您自己:马上捐赠或者成为我们的成员,”NTP项目团队写道。
转载请注明:IT运维空间 » 安全防护 » 留给NTP的时间不多了:网络时间协议或彻底告别历史舞台
发表评论