飛象網訊 人工智能、云計算、大數據等技術的核心都是軟件,可以說軟件是新一代信息技術的底座。在中國《“十四五”軟件和信息技術服務業發展規劃》中重點突出了開源相關內容。開源能加速軟件迭代升級,推動產業生態完善。因此,做好開源治理,才能有效提升“軟實力”。
隨著中國數字化轉型進程穩步推進,軟件已經成為業務運營的必備要素之一,并滲透到幾乎所有的重要行業和領域。同時,軟件設計開發愈加復雜,軟件供應鏈安全防護難度持續加大。新思科技(Synopsys)指出,軟件供應鏈安全直接關系到關鍵基礎設施安全,影響著企業發展和普通民眾的生活。促進軟件供應鏈安全成為社會的關注焦點。提起軟件供應鏈,不得不提開源組件,因為開源組件在現代軟件開發中可以說是無處不在。
新思科技開源治理專家王永雷表示:“《開源安全和風險分析》報告(OSSRA)顯示,被審計的代碼庫中開源代碼比例從2016年的36%增加到2021年的78%。可見,軟件繼續引領世界,開源引領軟件。近年來,開源安全問題頻發,比如黑客利用Docker鏡像的攻擊、開發人員蓄意破壞開源庫等, Apache Log4j程序中發現的零日漏洞更是業界的‘核爆級’事件。提升開源軟件治理水平,才可以幫助企業保障軟件供應鏈安全。”
王永雷指出開源軟件治理水平主要分成四個階段。
自發式開源治理,有意識地去修復開源漏洞
新思科技在《保護供應鏈安全的六個考慮因素》白皮書中強調“您有責任跟蹤供應鏈中的開源組件、許可證和漏洞及其相關風險”。
很多企業都是在使用開源組件的過程中發現存在安全漏洞,才去進行治理工作。甚至有時候企業的客戶已經受到了開源漏洞的影響,才進行補救工作。這樣的開源治理處于起步的階段。
對于軟件供應鏈而言,整個過程中所涉及的每個組件、人員、活動、材料或程序都會對最終產品及其用戶產生影響。企業應該在開發、測試、生產等各個環節進行開源治理。而開源治理的范圍和維度等可以根據開源組件使用的廣度和深度而調整,應該是一個動態、系統化的管理。
積極引入工具和流程規范,進行綜合治理
開發人員可能會無意地將包含有風險的開源組件引入其項目之中。但這通常不會引起注意。隨著開源使用越來越多,治理也越來越復雜。因此,企業需要引入自動化工具和流程規范,以進行綜合治理,提升開源治理的效率。
但是,往往這種治理只停留在開發團隊,并沒有推廣到整個公司。開源風險不止是安全漏洞,還包括監管合規風險、版權侵權、運營風險等等。妥善管控這些風險需要多部門協作,進行戰略性管理。
建立可信的開源自動化合規、安全治理平臺
新思科技Black Duck軟件組成分析在中國已經擁有了廣泛的用戶群。根據多年的經驗,新思科技看到中國企業越來越注重版權和合規,而且已經從被動式的治理轉向主動式的治理。
主動式開源治理最重要的一點是需要企業高層對此予以重視和支持,并且自上而下地打破壁壘。有的企業成立了“開源辦公室”,匯集法務、安全和技術等專家,提供一攬子指導,推動落實最佳實踐,形成良性的互動。通常,企業會建立一個自動化的開源合規、安全治理平臺,相關人員可以在這個統一的平臺上進行協作,比如利用開源工具對正在開發的軟件進行自動化掃描。
借助評估標準的度量,持續提升開源軟件治理水平
無論是開源治理還是其它軟件安全計劃,都需要一個標尺來衡量成果。度量的內容包括修復開源組件漏洞的時間周期;開源組件的高風險的比例;以及不同版本修復的比例趨勢等。這可以幫助管理團隊做出更好的判斷和決策,以查漏補缺,持續提升開源組件的安全性和合規性。
近年來,開源安全已經受到越來越多的重視。相關行業機構也發布了參考標準和指南,幫助企業有序、有效地管理開源組件。中國信息通信研究院(以下簡稱“信通院”)牽頭編寫了一系列開源安全相關的報告,包括近期發布的《開源安全深度觀察報告》和《開源合規指南(企業版)》。新思科技是兩份報告的參編單位之一。
《開源安全深度觀察報告》梳理了主流的開源安全風險,從開源社區和開源用戶兩個角度提供開源安全的防范建議;《開源合規指南(企業版)》側重研究國內外開源合規發展現狀,通過分享理論知識與優秀實踐,旨在幫助企業提升內部開源合規管控能力。
新思科技中國區軟件應用安全技術總監楊國梁總結道:“軟件定義創新活力,安全是根基。中國工業和信息化部印發的《“十四五”軟件和信息技術服務業發展規劃》也明確了提升軟件產業鏈現代化水平的要求。作為軟件供應鏈的重要一環,開源安全對產業鏈升級的影響舉足輕重。當然,提升開源治理水平不會一蹴而就,不能僅僅依靠一項技術或者某個流程就能快速實現。這是一個系統化工程,需要整體策略,從企業文化、開源工具、標準等多個方面循序漸進。隨著開源治理水平的提高,企業可以有效規避風險,促進供應鏈安全。”