多廠商軟件定義網(wǎng)絡(luò)（SDN）項(xiàng)目OpenDaylight去年八月在其平臺發(fā)現(xiàn)一個關(guān)鍵漏洞后，開始意識到安全的重要性。

　　直到12月，這個被稱為Netdump的漏洞才得到修復(fù)，這種時間長度充分說明該項(xiàng)目還沒有專門的安全小組。漏洞發(fā)現(xiàn)者Gregory Pickett在嘗試而未能與OpenDaylight聯(lián)系后，他將漏洞張貼在一個流行的安全漏洞郵件列表Bugtraq中。

　　雖然OpenDaylight仍處于早期階段，通常不會用于生產(chǎn)環(huán)境，但這個漏洞的出現(xiàn)說明，該項(xiàng)目必須部署安全響應(yīng)流程。

　　“對于開源項(xiàng)目而言，這實(shí)際上是非常普遍的問題，”IIX產(chǎn)品安全工程師David Jorm，同時他也構(gòu)建了OpenDaylight的安全響應(yīng)團(tuán)隊，“如果沒有具有較強(qiáng)安全背景的人員，他們通常就不會想到提供一種機(jī)制來報告漏洞。”

　　OpenDaylight項(xiàng)目于2013年4月推出，得到思科、IBM、微軟、愛立信和VMware等供應(yīng)商的支持。該項(xiàng)目的目標(biāo)的開發(fā)網(wǎng)絡(luò)產(chǎn)品來消除管理員需要對控制器和交換機(jī)進(jìn)行的一些手動操作。

　　讓這些產(chǎn)品具有共同基礎(chǔ)可以有助于提高兼容性，因?yàn)槠髽I(yè)往往會使用來自很多廠商的各種網(wǎng)絡(luò)設(shè)備。

　　安全將是SDN的重要組成部分，因?yàn)槁┒纯赡茉斐蔀?zāi)難性的的后果。通過感染SDN控制器（高速度交換機(jī)數(shù)據(jù)包應(yīng)該如何轉(zhuǎn)發(fā)的關(guān)鍵組件），攻擊者可以獲得對整個網(wǎng)絡(luò)的控制。

　　Jorm稱：“這真的是非常高價值的攻擊目標(biāo)。”

　　這個Netdump漏洞讓OpenDaylight開始采取行動，現(xiàn)在OpenDaylight有一個安全團(tuán)隊，團(tuán)隊成員來自不同供應(yīng)商。OpenDaylight的技術(shù)指導(dǎo)委員會最近也批準(zhǔn)了一個詳細(xì)的安全響應(yīng)流程（+微信關(guān)注網(wǎng)絡(luò)世界），基于OpenStack基金會使用的模型。

　　如果漏洞沒有公開報道披露，有些OpenDaylight利益相關(guān)者（甚至那些在安全團(tuán)隊沒有成員的利益相關(guān)者）都將會獲得預(yù)先通知，讓他們有機(jī)會開發(fā)修復(fù)程序。這種類型的漏洞披露很少見，但在開源項(xiàng)目正變得越來越普遍。

　　這里的想法是，在漏洞被披露后，供應(yīng)商們一般都會統(tǒng)一行動，幾乎在同時發(fā)出修復(fù)程序。

　　Jorm稱，OpenDaylight的安全響應(yīng)程序現(xiàn)在運(yùn)行很不錯。