开源软件在推动全球软件创新方面发挥着越来越重要的作用新思科技发布的最新报告《2022开源安全与风险分析》显示,从2016年至今,全球开源代码占比持续上升,过去5年翻了一番,2021年达到78%而以开源为业务的公司也呈现出蓬勃发展的态势
这份报告显示,通过对17个行业的开源扫描,发现计算机硬件与半导体,网络安全,能源与清洁技术,物联网四个行业的代码库100%包含开源代码其他垂直行业有93%—99%的代码库包含开源代码即使是比例最低的行业mdashmdash医疗保健,卫生技术和生命科学mdashmdash仍然有多达93%的代码库包含开源软件说明开源无处不在
对此,新思科技开源治理专家王表示,软件在继续吞噬我们的世界,而开源在吞噬软件据调查,2021年开源安全漏洞确实略有下降,但我们希望整个行业越来越重视开源安全,从而保证整个供应链的安全
为什么2021年是开源之年。
C114注意到,这份名为2021 的报告《2022开源安全与风险分析》,开源。
报告显示,黑鸭审计服务团队今年分析的2409个代码库中,97%包含开源漏洞81%包含至少一个开源漏洞,仅比2021年的调查结果少3%此外,包含至少一个高危开源漏洞的代码库数量大大减少,今年只有49%的审查代码库包含至少一个高危漏洞,比去年减少了11%在这些审计中,13%的客户选择放弃安全和运营风险评估
王表示,虽然审计中发现的高危漏洞减少令人鼓舞,但2021年仍然是充满开源问题的一年,包括供应链攻击,黑客利用Docker镜像的攻击以及开发者故意破坏自己的开源库,从而摧毁成千上万依赖于它们的应用特别是2021年底,在广泛使用的Apache Log4j程序中发现了一个新的零日漏洞
他指出,Log4Shell最值得注意的不是它的普适性,而是它激发了人们的意识伴随着这一漏洞的发现,企业和政府机构被迫重新审视如何使用和保护主要由无偿志愿者而非商业供应商创建和维护的开源软件这个漏洞的发现也暴露了很多企业根本不知道自己的软件中使用了多少开源代码的问题同时,Log4j事件也暴露了企业对开源软件的固有信任:大多数开发团队在使用开源软件时,并没有像对待商业或私有软件一样进行安全审查
从合规角度看,国内企业不当使用GPL导致法律诉讼,引起更多企业关注,从开源安全的角度,今年,中国信通院成立了开源安全专项研究组最近,我们还召开了一次会议,研究关于开源的白皮书和规范从监管层面到组织架构,都可以明显感觉到越来越重视最后,我们认为应该建立一个开发者生态系统,更加关注开发者王在接受C114采访时说
开源供应链面临巨大挑战。
在分析软件开发过程的供应链风险时,他告诉我们,企业开发者在构建整个软件时,可能会引入很多外部依赖包而且这种依赖是一步一步来的,很多时候开发者甚至没有意识到自己已经使用了组装的依赖包而如果这个依赖包被污染了,风险就高了这种情况,无论是上述的Log4j事件,还是NPM的删除事件,都凸显了其隐蔽性
可是,王表示,标准的风险管理服务并没有涵盖软件风险,而且软件供应链也没有引起企业的足够重视新技术发现,每个应用程序平均包含508个第三方组件,尤其是这些组件中的相关漏洞软件相对于硬件来说,如果通过非托管的方式购买,会比较无序,没有很好的纳入企业风险管理
例如,当一个公司开发一个软件时,它可能首先搜索一些可以使用的开源组件还有一些第三方库和一些基于开源组件的自定义开发这种风险非常高,因为企业专注于功能,往往缺乏一些开发安全实践
他表示,针对这一点,最近一两年,Linux基金会孵化的国际开源项目Open Chain推出了一个开源供应链标准ISO 5230,提供了相应的规范和指导,包括上游如何操作,下游应该遵循什么样的规范它的核心是要有程序和规范,要对员工进行培训,提高整体合规新思科技参与了其中部分标准的制定,这样的标准可以降低大家的成本,也是构建核心可信供应链的基石,王表示,信思科技可以在企业整个软件开发过程中提供端到端的安全解决方案
值得一提的是,今年新思科技深度参与了《ICT开源安全深度观察报告》和《开源合规指南白皮书》的编写公司希望与ICT携手,提升中国开源行业的安全和合规水平今年,我们信思科技的黑鸭再次以高分通过了ICT院可信开源治理工具的测评在这个过程中,我们展示了我们全面的语言支持能力,适应客户不同场景的扫描能力,企业级客户所关注的高并发,分布式灵活部署和容器可扩展性
最后,王强调,对于任何一个做开源代码的企业来说,首先也是最重要的是要有风险意识只要你有这个风险意识,剩下的事情就好办多了在整个使用过程中,企业要逐步积累最佳实践,自上而下进行风险管理基于此,开源这把双刃剑一定会让更多的企业受益
