軟件吞噬世界，開源吞噬軟件：那么，其中風(fēng)險(xiǎn)如何？

5月26日消息（岳明）開源軟件在促進(jìn)整個(gè)全球的軟件創(chuàng)新方面證發(fā)揮著越來越重要的作用。根據(jù)新思科技最新發(fā)布的《2022年開源安全和風(fēng)險(xiǎn)分析》報(bào)告，從2016年至今，全球開源代碼比例持續(xù)上升，過去五年時(shí)間里實(shí)現(xiàn)了翻倍增長，2021年這一比例達(dá)到78%。而以開源為商業(yè)的公司，也呈現(xiàn)出蓬勃發(fā)展態(tài)勢。

這份報(bào)告顯示，通過對17個(gè)行業(yè)的開源掃描發(fā)現(xiàn)，計(jì)算機(jī)硬件和半導(dǎo)體、網(wǎng)絡(luò)安全、能源與清潔科技、物聯(lián)網(wǎng)這4個(gè)行業(yè)的代碼庫100%包含開源代碼。其余的垂直行業(yè)有93%-99%的代碼庫中包含開源代碼。即使比例最低的行業(yè)——醫(yī)療保健、健康科技和生命科學(xué)——也仍然有高達(dá)93%代碼庫包含開源軟件。足見，開源確實(shí)無處不在。

對此，新思科技開源治理專家王永雷表示，“軟件正在繼續(xù)吞噬我們的世界，而開源則在吞噬軟件。調(diào)查發(fā)現(xiàn)，2021年開源安全漏洞的確稍有下降，但我們希望整個(gè)行業(yè)對于開源安全的重視越來越高，從而確保整個(gè)供應(yīng)鏈的安全。”

2021年何以成為開源年

C114注意到，這份《2022年開源安全和風(fēng)險(xiǎn)分析》報(bào)告將2021年稱為“開源年”。

報(bào)告稱，在由Black Duck審計(jì)服務(wù)團(tuán)隊(duì)今年分析的2409個(gè)代碼庫中，有97%包含開源漏洞。81%包含至少一個(gè)公開開源漏洞，比2021的調(diào)查結(jié)果僅減少了3%。此外，包含至少一個(gè)高風(fēng)險(xiǎn)開源漏洞的代碼庫數(shù)量大幅減少；今年的被審代碼庫中只有49%包含至少一個(gè)高風(fēng)險(xiǎn)漏洞，比去年減少了11%。在這些審計(jì)中，13%的客戶選擇放棄安全和運(yùn)營風(fēng)險(xiǎn)評(píng)估。

王永雷就此談到，盡管審計(jì)中發(fā)現(xiàn)的高風(fēng)險(xiǎn)漏洞的減少令人鼓舞，但2021年仍然是充滿開源問題的一年，包括供應(yīng)鏈攻擊、黑客利用Docker鏡像的攻擊、以及開發(fā)人員蓄意破壞自己的開源庫從而破壞了數(shù)千個(gè)對其依賴的應(yīng)用程序。特別是，2021年底在被廣泛采用的Apache Log4j程序中新發(fā)現(xiàn)的零日漏洞。

他指出，Log4Shell最令人值得關(guān)注的地方并不是它的普遍性，而是它激發(fā)了人們的意識(shí)。隨著該漏洞的發(fā)現(xiàn)，企業(yè)和政府機(jī)構(gòu)被迫重新審視如何使用和保護(hù)主要由無償志愿者而非商業(yè)供應(yīng)商創(chuàng)建和維護(hù)的開源軟件。該漏洞的發(fā)現(xiàn)還暴露了許多企業(yè)根本不知道其軟件中使用了多少開源代碼的問題。同時(shí)，Log4j事件還揭示了企業(yè)對開源軟件的固有信任問題：大多數(shù)開發(fā)團(tuán)隊(duì)在使用開源軟件時(shí)都沒有像對待商業(yè)或私有軟件那樣進(jìn)行安全審查。

“從合規(guī)層面來說，國內(nèi)企業(yè)因使用GPL不當(dāng)導(dǎo)致法律官司，這引起了更多企業(yè)的重視；從開源安全來看，今年中國信通院專門成立了開源安全研究組，我們最近也在開會(huì)研究針對開源的白皮書和規(guī)范等，從監(jiān)管層面到組織機(jī)構(gòu)都能明顯感覺到重視程度的上升。最后，我們認(rèn)為還是要構(gòu)建開發(fā)者生態(tài)，更多地關(guān)注開發(fā)人員。”王永雷在接受C114采訪時(shí)這樣表示。

開源供應(yīng)鏈存在巨大挑戰(zhàn)

在分析軟件開發(fā)流程的供應(yīng)鏈風(fēng)險(xiǎn)時(shí)，他告訴我們，企業(yè)開發(fā)人員在構(gòu)建整個(gè)軟件時(shí)，可能會(huì)引入很多外部的依賴包。而這種依賴又是逐級(jí)的，很多時(shí)候開發(fā)人員甚至意識(shí)不到自己用到了組裝起來的依賴包。而如果這個(gè)依賴包被污染了，風(fēng)險(xiǎn)就會(huì)很高。這種情況不管是上述的Log4j事件，還是NPM的刪庫事件，都凸顯了其中的隱蔽性。

不過，王永雷談到，標(biāo)準(zhǔn)風(fēng)險(xiǎn)管理服務(wù)并不涵蓋軟件風(fēng)險(xiǎn)，軟件供應(yīng)鏈目前還沒有引起企業(yè)足夠的重視。新思科技發(fā)現(xiàn)，每個(gè)應(yīng)用程序平均有包含508個(gè)第三方組件，尤其是這些組件里面還會(huì)有相關(guān)聯(lián)的漏洞。而相較于硬件來說，軟件如果通過非托管采購方式的話，會(huì)處于一種無序的方式，并沒有很好地納入企業(yè)風(fēng)險(xiǎn)管理。

“比如一家公司開發(fā)一款軟件時(shí)，首先可能會(huì)去搜索有沒有一些開源組件可以拿過來用。還有一些第三方的庫，以及基于開源組件做一些定制開發(fā)。這個(gè)風(fēng)險(xiǎn)是非常高的，因?yàn)槠髽I(yè)專注于功能，往往缺乏一些開發(fā)安全實(shí)踐。”

他表示，針對此，最近一兩年，國際上通過Linux基金會(huì)孵化出的開源項(xiàng)目Open Chain推出來一個(gè)開源供應(yīng)鏈標(biāo)準(zhǔn)ISO 5230，就提供了相應(yīng)的規(guī)范和指導(dǎo)，包括上游如何操作，以及下游需要遵循什么樣的規(guī)范，其核心是“要有流程和規(guī)范，并對員工進(jìn)行培訓(xùn)，從而提高整體的合規(guī)性”。而新思科技就參與了其中一些標(biāo)準(zhǔn)的制定，“這樣的規(guī)范可以降低大家的成本，也是構(gòu)建一個(gè)核心的可信供應(yīng)鏈的基石”。王永雷稱，新思科技可以在企業(yè)整個(gè)軟件開發(fā)過程中提供端到端的的安全解決方案。

值得一提的是，今年新思科技深度參與了信通院《開源安全深度觀察報(bào)告》，還有《開源合規(guī)指南（企業(yè)篇）》白皮書的編寫，該公司希望攜手信通院一起提高整個(gè)中國開源產(chǎn)業(yè)的安全和合規(guī)的水平。“今年，我們新思科技的Black Duck再次高分通過了信通院的可信開源治理工具評(píng)估。在這個(gè)過程里面，我們展現(xiàn)了自身全面的語言支持能力，適應(yīng)客戶不同場景的掃描能力，還有企業(yè)級(jí)客戶關(guān)注的高并發(fā)，分布式彈性部署，以及容器的可擴(kuò)展性。”

最后，王永雷強(qiáng)調(diào)，對于采用開源代碼的任何規(guī)模企業(yè)來說，首先最重要的是要有風(fēng)險(xiǎn)意識(shí)，只要具備了這種風(fēng)險(xiǎn)意識(shí)，剩下的事情就會(huì)好辦很多。在整個(gè)使用過程中，企業(yè)要慢慢去積累最佳實(shí)踐，并從上至下地踐行風(fēng)險(xiǎn)管理，基于此，開源這把雙刃劍一定會(huì)使更多的企業(yè)受益良多。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實(shí)，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。