飞象网讯 人工智能、云计算、大数据等技术的核心都是软件,可以说软件是新一代信息技术的底座。在中国《“十四五”软件和信息技术服务业发展规划》中重点突出了开源相关内容。开源能加速软件迭代升级,推动产业生态完善。因此,做好开源治理,才能有效提升“软实力”。
随着中国数字化转型进程稳步推进,软件已经成为业务运营的必备要素之一,并渗透到几乎所有的重要行业和领域。同时,软件设计开发愈加复杂,软件供应链安全防护难度持续加大。新思科技(Synopsys)指出,软件供应链安全直接关系到关键基础设施安全,影响着企业发展和普通民众的生活。促进软件供应链安全成为社会的关注焦点。提起软件供应链,不得不提开源组件,因为开源组件在现代软件开发中可以说是无处不在。
新思科技开源治理专家王永雷表示:“《开源安全和风险分析》报告(OSSRA)显示,被审计的代码库中开源代码比例从2016年的36%增加到2021年的78%。可见,软件继续引领世界,开源引领软件。近年来,开源安全问题频发,比如黑客利用Docker镜像的攻击、开发人员蓄意破坏开源库等, Apache Log4j程序中发现的零日漏洞更是业界的‘核爆级’事件。提升开源软件治理水平,才可以帮助企业保障软件供应链安全。”
王永雷指出开源软件治理水平主要分成四个阶段。
自发式开源治理,有意识地去修复开源漏洞
新思科技在《保护供应链安全的六个考虑因素》白皮书中强调“您有责任跟踪供应链中的开源组件、许可证和漏洞及其相关风险”。
很多企业都是在使用开源组件的过程中发现存在安全漏洞,才去进行治理工作。甚至有时候企业的客户已经受到了开源漏洞的影响,才进行补救工作。这样的开源治理处于起步的阶段。
对于软件供应链而言,整个过程中所涉及的每个组件、人员、活动、材料或程序都会对最终产品及其用户产生影响。企业应该在开发、测试、生产等各个环节进行开源治理。而开源治理的范围和维度等可以根据开源组件使用的广度和深度而调整,应该是一个动态、系统化的管理。
积极引入工具和流程规范,进行综合治理
开发人员可能会无意地将包含有风险的开源组件引入其项目之中。但这通常不会引起注意。随着开源使用越来越多,治理也越来越复杂。因此,企业需要引入自动化工具和流程规范,以进行综合治理,提升开源治理的效率。
但是,往往这种治理只停留在开发团队,并没有推广到整个公司。开源风险不止是安全漏洞,还包括监管合规风险、版权侵权、运营风险等等。妥善管控这些风险需要多部门协作,进行战略性管理。
建立可信的开源自动化合规、安全治理平台
新思科技Black Duck软件组成分析在中国已经拥有了广泛的用户群。根据多年的经验,新思科技看到中国企业越来越注重版权和合规,而且已经从被动式的治理转向主动式的治理。
主动式开源治理最重要的一点是需要企业高层对此予以重视和支持,并且自上而下地打破壁垒。有的企业成立了“开源办公室”,汇集法务、安全和技术等专家,提供一揽子指导,推动落实最佳实践,形成良性的互动。通常,企业会建立一个自动化的开源合规、安全治理平台,相关人员可以在这个统一的平台上进行协作,比如利用开源工具对正在开发的软件进行自动化扫描。
借助评估标准的度量,持续提升开源软件治理水平
无论是开源治理还是其它软件安全计划,都需要一个标尺来衡量成果。度量的内容包括修复开源组件漏洞的时间周期;开源组件的高风险的比例;以及不同版本修复的比例趋势等。这可以帮助管理团队做出更好的判断和决策,以查漏补缺,持续提升开源组件的安全性和合规性。
近年来,开源安全已经受到越来越多的重视。相关行业机构也发布了参考标准和指南,帮助企业有序、有效地管理开源组件。中国信息通信研究院(以下简称“信通院”)牵头编写了一系列开源安全相关的报告,包括近期发布的《开源安全深度观察报告》和《开源合规指南(企业版)》。新思科技是两份报告的参编单位之一。
《开源安全深度观察报告》梳理了主流的开源安全风险,从开源社区和开源用户两个角度提供开源安全的防范建议;《开源合规指南(企业版)》侧重研究国内外开源合规发展现状,通过分享理论知识与优秀实践,旨在帮助企业提升内部开源合规管控能力。
新思科技中国区软件应用安全技术总监杨国梁总结道:“软件定义创新活力,安全是根基。中国工业和信息化部印发的《“十四五”软件和信息技术服务业发展规划》也明确了提升软件产业链现代化水平的要求。作为软件供应链的重要一环,开源安全对产业链升级的影响举足轻重。当然,提升开源治理水平不会一蹴而就,不能仅仅依靠一项技术或者某个流程就能快速实现。这是一个系统化工程,需要整体策略,从企业文化、开源工具、标准等多个方面循序渐进。随着开源治理水平的提高,企业可以有效规避风险,促进供应链安全。”
