Mozilla 開源支援提名,第三軌
徵求
開放原始碼和免費軟體生態系統需要安全;感謝您願意透過建議一個專案進行 SOS 稽核,讓這件事更接近實現。請注意,此表單讓您可以提出建議,而不是申請 - 請不要期待我們會回覆您。與 MOSS 的其他軌不同,Mozilla 會主動接觸它希望提供協助的組織,也許會根據建議,也許不會。
我們在評估申請時會考慮一系列因素。例如
- 該軟體的使用率有多高?
- 該軟體是否面向網路或是否定期處理不受信任的資料?
- 該軟體對網際網路或網路的持續運作有多重要?
- 該軟體是否依賴閉源程式碼,例如在網路服務中?
- 該軟體的維護人員是否知道並支持從 SOS 基金申請支援?
- 該軟體之前是否曾被稽核過?如果是,稽核時間和範圍為何?稽核報告是否公開?如果是,在哪裡公開?
- 該軟體是否有現有的公司支援或參與?
此類問題的答案通常不是「是」或「否」,而是程度問題,因此 Mozilla 在評估專案時會考量整體情況。
申請
專案名稱
Homebrew
您的姓名
Jonathan Chang
您與專案的關係
維護人員
專案網站(我們需要可以取得原始碼的地方)
專案說明
Homebrew 的目標是成為 macOS(和 Linux)缺少的套件管理員。它的主要目標是對盡可能多的人有用,同時由一小群志工以專業、高標準的方式維護。在可能且合理的情況下,它應該尋求使用 macOS 的功能,以融入 macOS 和 Apple 生態系統。在 Linux 和 Windows 上,它應該盡可能地獨立。
專案的原始碼受到哪些著作權許可或許可證的保護?
Homebrew 的程式碼在 BSD 2 條款許可下授權。Homebrew 也提供三個相依性,它們都採用 MIT 授權(https://github.com/Homebrew/brew/tree/master/Library/Homebrew/vendor)。
專案是否包含任何專有程式碼,或依賴或使用專有網路服務?如果是,請提供詳細資訊
Homebrew 的原始碼託管在 GitHub 上。Homebrew 與 Bintray API 互動,以載入和託管我們的二進位套件。Homebrew 也依賴 Microsoft 的 Azure Pipelines 持續整合服務,在 macOS 和 Linux 上執行我們的測試套件。
專案的維護狀態為何?
專案是否積極維護中?如果是,請提供維護人員的聯絡方式,並說明他們是否知道且/或支持此應用程式。最近一次的版本發布時間為何?
Homebrew 積極維護中,最近一次的版本發布時間為 2019 年 4 月 5 日,版本為 v2.1.0。Homebrew 有 22 位維護人員;他們的 GitHub 處理程序列於下方,以及他們可能擁有的其他特定管理職務
- Mike McQuaid (@MikeMcQuaid,專案負責人)
- Misty De Meo (@mistydemeo,專案領導,技術指導)
- Markus Reiter (@reitermarkus,專案領導,技術指導)
- Jonathan Chang (@jonchang,專案領導)
- Shaun Jackman (@sjackman,專案領導)
- FX Coudert (@fxcoudert,技術指導)
- Michka Popoff (@iMichka,技術指導)
- Chongyu Zhu (@lembacon)
- Claudia Pellegrino (@claui)
- Eric Knibbe (@EricFromCanada)
- Gautham Goli (@GauthamGoli)
- Igor Kapkov (@igas)
- Izaak “Zaak” Beekman (@zbeekman)
- Jan Viljanen (@javian)
- Jason Tedor (@jasontedor)
- Sean Molenaar (@SMillerDev)
- Steven Peters (@scpeters)
- Thierry Moisan (@Moisan)
- Tom Schoonjans (@tschoonj)
- Viktor Szakats (@vszakats)
- Vítor Galvão (@vitorgalvao)
- William Woodruff (@woodruffw)
其他維護人員已審查此應用程式,並表示支持。
專案的熱門程度如何?
有多少安裝/使用的執行個體?請提供盡可能多的資料,包括任何數字的來源。
根據我們政策所收集的匿名分析資料 (https://homebrew.dev.org.tw/Analytics),macOS 上的 Homebrew 在過去一個月中有大約 124 萬個執行個體處於活躍狀態。與去年同期相比,增加了 19.3%,當時有 104 萬個活躍執行個體。
Linux 上的 Homebrew 有大約 1.5 萬個活躍執行個體,與去年相比增加了 75%,當時有 8.6 千個執行個體。
每個已安裝的 Homebrew 執行個體都非常活躍:在過去一年中,我們記錄了大約 1.66 億個安裝事件;平均而言,一個執行個體每天會安裝軟體約 1.7 次。
請提供建議或其他文件,說明專案中發現的任何最近安全漏洞
https://brew.sh/2018/08/05/security-incident-disclosure/
專案之前是否進行過安全原始碼稽核?如果是,稽核時間和廣泛程度為何?
如果之前已進行稽核且報告公開,請提供網址。
Homebrew 之前未針對安全問題進行稽核。我們的 HackerOne 專案會收到安全問題的臨時報告。
開發過程中有哪些正式或非正式的公司參與?
目前沒有維護人員受雇於公司專門負責 Homebrew。我們的章程 (https://homebrew.dev.org.tw/Homebrew-Governance) 禁止同一家公司的兩位以上員工同時擔任我們的專案領導委員會或技術指導委員會。
我們收到實物贊助,用於我們基礎架構的數項服務,但這些公司並未參與我們的開發流程
- MacStadium(伺服器共置)
- DigitalOcean(虛擬私人伺服器)
- CommsWorld(伺服器共置)
- Bintray(二進位檔託管)
- AgileBits(密碼和金鑰儲存)
您認為此專案為何適合獲得 SOS 獎項?
這是最重要的問題。請參閱 https://wiki.mozilla.org/MOSS/Secure_Open_Source 中的準則。此外,請說明程式碼對攻擊者暴露的方式,以及安全問題的可能影響。
macOS 上的 Homebrew 已安裝超過一百萬個執行個體,而且根據 Google 趨勢(「homebrew mac」與「macports」)的衡量,自 2015 年以來一直是 macOS 最受歡迎的套件管理員。因此,Homebrew 中的任何安全漏洞都可能影響許多 macOS 使用者。
作為套件管理員,Homebrew 經常存取網路以下載和安裝二進位檔,或從原始來源中解壓縮和編譯 tarball。Homebrew 公式有能力從網路執行不受信任的程式碼,例如 Makefiles 和建置指令碼。因此,Homebrew 的網路處理和驗證程式碼中的漏洞可能會將惡意軟體傳遞給最終使用者。
Homebrew 經常在持續整合 (CI) 基礎架構中使用,以在 macOS 上安裝開發工具。例如,Travis CI 建議將 Homebrew 作為其在 CI 容器上安裝開發套件的預設值。Homebrew 建置環境中的任何弱點都可能危害透過 CI 為 macOS 系統建置的軟體,加劇任何安全漏洞的影響。
此外,許多網路開發人員目前使用 macOS 作為其首選的開發平台。2017 年 Stack Overflow 開發人員調查(這些資料可用的最後一年)指出,在 26,235 位自述為網路開發人員的人員中,有 4,220 位(16%)使用 macOS 作為其開發平台。僅檢查前端開發人員時,近 70% 使用 macOS。Homebrew 的分析強化了其對網路開發的重要性,其安裝最多的套件是 Node.js,佔所有記錄的套件安裝數的近 5%(290 萬個安裝事件)。Homebrew 中的安全漏洞可能會危害大量的網路開發機器。
Linux 上的 Homebrew 通常由高效能運算和其他科學運算使用者使用,並由稱為「linuxbrew」的特殊角色帳戶管理。Linux 上的 Homebrew 軟體遭到入侵可能會導致運算叢集遭到濫用或接管,這些叢集最多可能包含數萬個節點,每個節點都具有重要的運算資源和網路存取權,可用於破解密碼或執行阻斷服務攻擊。
