【51CTO.com快譯】每個人都在享受由網絡時間協議帶來的便利,但該項目卻很難為其維護者或者參與開發各方帶來收益。
世界上存在著兩類開源項目:一些由企業負責贊助,另一些則屬於「愛的付出」。事實上,還有第三類項目存在:即具備一定程度支持,但卻始終在尋求下一位贊助者的項目。
部分開源項目得到廣泛使用,這意味著一旦其出了問題,每個人都會受到負面影響。OpenSSL就是這樣一類項目; 當Heartbleed漏洞被正式披露後,各組織機構都在想盡辦法對其網絡設備及軟體內的安全漏洞進行修復。網絡時間協議(簡稱NTP)在現代計算領域同樣扮演著極為重要的角色,其專門負責對不同伺服器及設備上的時鐘進行同步,從而確保其步調一致。然而事實上,NTP項目面臨著資金及支持資源嚴重匱乏的問題。
NTP已經擁有超過30年歷史——其可能是目前運行在網際網路上的年紀最大的代碼庫了。儘管存在些許小障礙,但其仍然在繼續工作。不過該項目的前景則不容樂觀,志願者人數的大幅減少迫使Harlan Stenn不得不經常獨力完成相關工作。由於支持有限,該項目能夠實現的目標也就越來越少,意味著其維護力度下降且創新幾乎成為不可能。
「NTF的NTP項目仍然處於資金嚴重不足的狀態下,」該項目團隊在最近的一份安全倡議中寫道。「谷歌公司今年已經不再提供贊助,且目前Linux基金會的核心基礎設施項目只能支持Harlan每周用於NTP開發的全部工作時長中的約25%。」
去年,Linux基金會通過核心基礎設施項目重新審定了新一年內面向NTP的資金贊助,但其可憐的額度顯然遠遠不夠。
贊助商的制度對該項目產生了致命的影響。其最近發布的ntp-4.2.8p0更新針對的是今年6月即披露的一項漏洞。而直到今年9月,發現該漏洞的研究人員仍然能夠通過單一惡意篡改數據包利用這一已經公布長達80天的漏洞。由於漏洞的空窗期已經超過100天,Magnus Studman擔心更多拖延會導致其被「惡意人士所利用」。
Stenn的反應確實相當遲鈍。「實際上,我們仍然面臨著嚴重的資源不足問題。大家可以向我們提出問題,且/或加入我們幫助完成工作,且/或邀請他人伸出援手,」他寫道。
研究人員雖然報告了相關安全問題,但卻仍然沒有足夠的開發者幫助Stenn完成修復、補丁測試以及文件變更等工作。Linux基金會的核心基礎設施項目支持並不包含對網絡時間安全(簡稱NTS)以及通用時間戳API等新項目及其遵循現有最佳實踐與標準的調整性工作。來自核心基礎設施項目的支持範疇只包括「支持開發者以及基礎設施。」
作為網際網路工程技術任務組(簡稱IETF)的現有草案版本,NTS為管理員們提供途徑以提升NTP項目安全性水平,從而保護時間同步機制。這一機制利用數據報傳輸層安全(簡稱DTLS)以為NTP提供加密安全機制。而通用時間戳API則將開發出一種新的時間戳格式,其中包含除日期與時間之外的更多信息,從而提升實用性。其目標是開發出一種更加有效且可移植的庫API,從而利用這些時間戳。
眾多開源項目與倡議都受到支持、贊助、財務及人力資源不足問題的困擾。正因為如此,開源安全項目才一直在努力與企業間建立聯繫。企業當然不希望將現有應用建立在某個未來可能不再受到支持的項目之上。在理想情況下,作為核心基礎設施內關鍵性組成部分的開源項目應當擁有永久性贊助資金。
NTP在基礎設施當中扮演著重要角色,幾乎每個人都在享受著這一免費項目帶來的便利。NTP目前不僅需要維護代碼,更需要更多人加入進來以調試bug並推動軟體發展。如果沒有更多幫助,該項目的未來將一片迷茫。事實上,NTP或者是建立並負責運營該項目的網絡時間基金會應該不難找到合適的企業贊助商及貢獻者。
「如果準確且安全的時間同步機制對您或者您所在的組織機構非常重要,請幫助我們並以此幫助您自己:馬上捐贈或者成為我們的成員,」NTP項目團隊寫道。
原文標題:Time is running out for NTP,作者:Fahmida Y. Rashid
【51CTO譯稿,合作站點轉載請註明原文譯者和出處為51CTO.com】
點讚 0