人工智能、云計算、大數據等技術(shù)的核心都是軟件,可以說(shuō)軟件是新一代信息技術(shù)的底座。在中國《"十四五"軟件和信息技術(shù)服務(wù)業(yè)發(fā)展規劃》中重點(diǎn)突出了開(kāi)源相關(guān)內容。開(kāi)源能加速軟件迭代升級,推動(dòng)產(chǎn)業(yè)生態(tài)完善。因此,做好開(kāi)源治理,才能有效提升"軟實(shí)力"。
隨著(zhù)中國數字化轉型進(jìn)程穩步推進(jìn),軟件已經(jīng)成為業(yè)務(wù)運營(yíng)的必備要素之一,并滲透到幾乎所有的重要行業(yè)和領(lǐng)域。同時(shí),軟件設計開(kāi)發(fā)愈加復雜,軟件供應鏈安全防護難度持續加大。新思科技(Synopsys)指出,軟件供應鏈安全直接關(guān)系到關(guān)鍵基礎設施安全,影響著(zhù)企業(yè)發(fā)展和普通民眾的生活。促進(jìn)軟件供應鏈安全成為社會(huì )的關(guān)注焦點(diǎn)。提起軟件供應鏈,不得不提開(kāi)源組件,因為開(kāi)源組件在現代軟件開(kāi)發(fā)中可以說(shuō)是無(wú)處不在。
新思科技開(kāi)源治理專(zhuān)家王永雷表示:"《開(kāi)源安全和風(fēng)險分析》報告(OSSRA)顯示,被審計的代碼庫中開(kāi)源代碼比例從2016年的36%增加到2021年的78%。可見(jiàn),軟件繼續引領(lǐng)世界,開(kāi)源引領(lǐng)軟件。近年來(lái),開(kāi)源安全問(wèn)題頻發(fā),比如黑客利用Docker鏡像的攻擊、開(kāi)發(fā)人員蓄意破壞開(kāi)源庫等, Apache Log4j程序中發(fā)現的零日漏洞更是業(yè)界的'核爆級'事件。提升開(kāi)源軟件治理水平,才可以幫助企業(yè)保障軟件供應鏈安全。"
王永雷指出開(kāi)源軟件治理水平主要分成四個(gè)階段。
自發(fā)式開(kāi)源治理,有意識地去修復開(kāi)源漏洞
新思科技在《保護供應鏈安全的六個(gè)考慮因素》白皮書(shū)中強調"您有責任跟蹤供應鏈中的開(kāi)源組件、許可證和漏洞及其相關(guān)風(fēng)險"。
很多企業(yè)都是在使用開(kāi)源組件的過(guò)程中發(fā)現存在安全漏洞,才去進(jìn)行治理工作。甚至有時(shí)候企業(yè)的客戶(hù)已經(jīng)受到了開(kāi)源漏洞的影響,才進(jìn)行補救工作。這樣的開(kāi)源治理處于起步的階段。
對于軟件供應鏈而言,整個(gè)過(guò)程中所涉及的每個(gè)組件、人員、活動(dòng)、材料或程序都會(huì )對最終產(chǎn)品及其用戶(hù)產(chǎn)生影響。企業(yè)應該在開(kāi)發(fā)、測試、生產(chǎn)等各個(gè)環(huán)節進(jìn)行開(kāi)源治理。而開(kāi)源治理的范圍和維度等可以根據開(kāi)源組件使用的廣度和深度而調整,應該是一個(gè)動(dòng)態(tài)、系統化的管理。
積極引入工具和流程規范,進(jìn)行綜合治理
開(kāi)發(fā)人員可能會(huì )無(wú)意地將包含有風(fēng)險的開(kāi)源組件引入其項目之中。但這通常不會(huì )引起注意。隨著(zhù)開(kāi)源使用越來(lái)越多,治理也越來(lái)越復雜。因此,企業(yè)需要引入自動(dòng)化工具和流程規范,以進(jìn)行綜合治理,提升開(kāi)源治理的效率。
但是,往往這種治理只停留在開(kāi)發(fā)團隊,并沒(méi)有推廣到整個(gè)公司。開(kāi)源風(fēng)險不止是安全漏洞,還包括監管合規風(fēng)險、版權侵權、運營(yíng)風(fēng)險等等。妥善管控這些風(fēng)險需要多部門(mén)協(xié)作,進(jìn)行戰略性管理。
建立可信的開(kāi)源自動(dòng)化合規、安全治理平臺
新思科技Black Duck軟件組成分析在中國已經(jīng)擁有了廣泛的用戶(hù)群。根據多年的經(jīng)驗,新思科技看到中國企業(yè)越來(lái)越注重版權和合規,而且已經(jīng)從被動(dòng)式的治理轉向主動(dòng)式的治理。
主動(dòng)式開(kāi)源治理最重要的一點(diǎn)是需要企業(yè)高層對此予以重視和支持,并且自上而下地打破壁壘。有的企業(yè)成立了"開(kāi)源辦公室",匯集法務(wù)、安全和技術(shù)等專(zhuān)家,提供一攬子指導,推動(dòng)落實(shí)最佳實(shí)踐,形成良性的互動(dòng)。通常,企業(yè)會(huì )建立一個(gè)自動(dòng)化的開(kāi)源合規、安全治理平臺,相關(guān)人員可以在這個(gè)統一的平臺上進(jìn)行協(xié)作,比如利用開(kāi)源工具對正在開(kāi)發(fā)的軟件進(jìn)行自動(dòng)化掃描。
借助評估標準的度量,持續提升開(kāi)源軟件治理水平
無(wú)論是開(kāi)源治理還是其它軟件安全計劃,都需要一個(gè)標尺來(lái)衡量成果。度量的內容包括修復開(kāi)源組件漏洞的時(shí)間周期;開(kāi)源組件的高風(fēng)險的比例;以及不同版本修復的比例趨勢等。這可以幫助管理團隊做出更好的判斷和決策,以查漏補缺,持續提升開(kāi)源組件的安全性和合規性。
近年來(lái),開(kāi)源安全已經(jīng)受到越來(lái)越多的重視。相關(guān)行業(yè)機構也發(fā)布了參考標準和指南,幫助企業(yè)有序、有效地管理開(kāi)源組件。中國信息通信研究院(以下簡(jiǎn)稱(chēng)"信通院")牽頭編寫(xiě)了一系列開(kāi)源安全相關(guān)的報告,包括近期發(fā)布的《開(kāi)源安全深度觀(guān)察報告》和《開(kāi)源合規指南(企業(yè)版)》。新思科技是兩份報告的參編單位之一。
《開(kāi)源安全深度觀(guān)察報告》梳理了主流的開(kāi)源安全風(fēng)險,從開(kāi)源社區和開(kāi)源用戶(hù)兩個(gè)角度提供開(kāi)源安全的防范建議;《開(kāi)源合規指南(企業(yè)版)》側重研究國內外開(kāi)源合規發(fā)展現狀,通過(guò)分享理論知識與優(yōu)秀實(shí)踐,旨在幫助企業(yè)提升內部開(kāi)源合規管控能力。
新思科技中國區軟件應用安全技術(shù)總監楊國梁總結道:"軟件定義創(chuàng )新活力,安全是根基。中國工業(yè)和信息化部印發(fā)的《"十四五"軟件和信息技術(shù)服務(wù)業(yè)發(fā)展規劃》也明確了提升軟件產(chǎn)業(yè)鏈現代化水平的要求。作為軟件供應鏈的重要一環(huán),開(kāi)源安全對產(chǎn)業(yè)鏈升級的影響舉足輕重。當然,提升開(kāi)源治理水平不會(huì )一蹴而就,不能僅僅依靠一項技術(shù)或者某個(gè)流程就能快速實(shí)現。這是一個(gè)系統化工程,需要整體策略,從企業(yè)文化、開(kāi)源工具、標準等多個(gè)方面循序漸進(jìn)。隨著(zhù)開(kāi)源治理水平的提高,企業(yè)可以有效規避風(fēng)險,促進(jìn)供應鏈安全。"
