軟件吞噬世界，開源吞噬軟件：那么，其中風險如何？

5月26日消息（岳明）開源軟件在促進整個全球的軟件創(chuàng)新方面證發(fā)揮著越來越重要的作用。根據(jù)新思科技最新發(fā)布的《2022年開源安全和風險分析》報告，從2016年至今，全球開源代碼比例持續(xù)上升，過去五年時間里實現(xiàn)了翻倍增長，2021年這一比例達到78%。而以開源為商業(yè)的公司，也呈現(xiàn)出蓬勃發(fā)展態(tài)勢。

這份報告顯示，通過對17個行業(yè)的開源掃描發(fā)現(xiàn)，計算機硬件和半導體、網(wǎng)絡安全、能源與清潔科技、物聯(lián)網(wǎng)這4個行業(yè)的代碼庫100%包含開源代碼。其余的垂直行業(yè)有93%-99%的代碼庫中包含開源代碼。即使比例最低的行業(yè)——醫(yī)療保健、健康科技和生命科學——也仍然有高達93%代碼庫包含開源軟件。足見，開源確實無處不在。

對此，新思科技開源治理專家王永雷表示，“軟件正在繼續(xù)吞噬我們的世界，而開源則在吞噬軟件。調(diào)查發(fā)現(xiàn)，2021年開源安全漏洞的確稍有下降，但我們希望整個行業(yè)對于開源安全的重視越來越高，從而確保整個供應鏈的安全。”

2021年何以成為開源年

C114注意到，這份《2022年開源安全和風險分析》報告將2021年稱為“開源年”。

報告稱，在由Black Duck審計服務團隊今年分析的2409個代碼庫中，有97%包含開源漏洞。81%包含至少一個公開開源漏洞，比2021的調(diào)查結果僅減少了3%。此外，包含至少一個高風險開源漏洞的代碼庫數(shù)量大幅減少；今年的被審代碼庫中只有49%包含至少一個高風險漏洞，比去年減少了11%。在這些審計中，13%的客戶選擇放棄安全和運營風險評估。

王永雷就此談到，盡管審計中發(fā)現(xiàn)的高風險漏洞的減少令人鼓舞，但2021年仍然是充滿開源問題的一年，包括供應鏈攻擊、黑客利用Docker鏡像的攻擊、以及開發(fā)人員蓄意破壞自己的開源庫從而破壞了數(shù)千個對其依賴的應用程序。特別是，2021年底在被廣泛采用的Apache Log4j程序中新發(fā)現(xiàn)的零日漏洞。

他指出，Log4Shell最令人值得關注的地方并不是它的普遍性，而是它激發(fā)了人們的意識。隨著該漏洞的發(fā)現(xiàn)，企業(yè)和政府機構被迫重新審視如何使用和保護主要由無償志愿者而非商業(yè)供應商創(chuàng)建和維護的開源軟件。該漏洞的發(fā)現(xiàn)還暴露了許多企業(yè)根本不知道其軟件中使用了多少開源代碼的問題。同時，Log4j事件還揭示了企業(yè)對開源軟件的固有信任問題：大多數(shù)開發(fā)團隊在使用開源軟件時都沒有像對待商業(yè)或私有軟件那樣進行安全審查。

“從合規(guī)層面來說，國內(nèi)企業(yè)因使用GPL不當導致法律官司，這引起了更多企業(yè)的重視；從開源安全來看，今年中國信通院專門成立了開源安全研究組，我們最近也在開會研究針對開源的白皮書和規(guī)范等，從監(jiān)管層面到組織機構都能明顯感覺到重視程度的上升。最后，我們認為還是要構建開發(fā)者生態(tài)，更多地關注開發(fā)人員。”王永雷在接受C114采訪時這樣表示。

開源供應鏈存在巨大挑戰(zhàn)

在分析軟件開發(fā)流程的供應鏈風險時，他告訴我們，企業(yè)開發(fā)人員在構建整個軟件時，可能會引入很多外部的依賴包。而這種依賴又是逐級的，很多時候開發(fā)人員甚至意識不到自己用到了組裝起來的依賴包。而如果這個依賴包被污染了，風險就會很高。這種情況不管是上述的Log4j事件，還是NPM的刪庫事件，都凸顯了其中的隱蔽性。

不過，王永雷談到，標準風險管理服務并不涵蓋軟件風險，軟件供應鏈目前還沒有引起企業(yè)足夠的重視。新思科技發(fā)現(xiàn)，每個應用程序平均有包含508個第三方組件，尤其是這些組件里面還會有相關聯(lián)的漏洞。而相較于硬件來說，軟件如果通過非托管采購方式的話，會處于一種無序的方式，并沒有很好地納入企業(yè)風險管理。

“比如一家公司開發(fā)一款軟件時，首先可能會去搜索有沒有一些開源組件可以拿過來用。還有一些第三方的庫，以及基于開源組件做一些定制開發(fā)。這個風險是非常高的，因為企業(yè)專注于功能，往往缺乏一些開發(fā)安全實踐。”

他表示，針對此，最近一兩年，國際上通過Linux基金會孵化出的開源項目Open Chain推出來一個開源供應鏈標準ISO 5230，就提供了相應的規(guī)范和指導，包括上游如何操作，以及下游需要遵循什么樣的規(guī)范，其核心是“要有流程和規(guī)范，并對員工進行培訓，從而提高整體的合規(guī)性”。而新思科技就參與了其中一些標準的制定，“這樣的規(guī)范可以降低大家的成本，也是構建一個核心的可信供應鏈的基石”。王永雷稱，新思科技可以在企業(yè)整個軟件開發(fā)過程中提供端到端的的安全解決方案。

值得一提的是，今年新思科技深度參與了信通院《開源安全深度觀察報告》，還有《開源合規(guī)指南（企業(yè)篇）》白皮書的編寫，該公司希望攜手信通院一起提高整個中國開源產(chǎn)業(yè)的安全和合規(guī)的水平。“今年，我們新思科技的Black Duck再次高分通過了信通院的可信開源治理工具評估。在這個過程里面，我們展現(xiàn)了自身全面的語言支持能力，適應客戶不同場景的掃描能力，還有企業(yè)級客戶關注的高并發(fā)，分布式彈性部署，以及容器的可擴展性。”

最后，王永雷強調(diào)，對于采用開源代碼的任何規(guī)模企業(yè)來說，首先最重要的是要有風險意識，只要具備了這種風險意識，剩下的事情就會好辦很多。在整個使用過程中，企業(yè)要慢慢去積累最佳實踐，并從上至下地踐行風險管理，基于此，開源這把雙刃劍一定會使更多的企業(yè)受益良多。

生成海報

免責聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權或存在不實內(nèi)容時，應及時向本網(wǎng)站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內(nèi)容或斷開相關鏈接。