C114讯 5月26日消息(岳明)开源软件在促进整个全球的软件创新方面证发挥着越来越重要的作用。根据新思科技最新发布的《2022年开源安全和风险分析》报告,从2016年至今,全球开源代码比例持续上升,过去五年时间里实现了翻倍增长,2021年这一比例达到78%。而以开源为商业的公司,也呈现出蓬勃发展态势。
这份报告显示,通过对17个行业的开源扫描发现,计算机硬件和半导体、网络安全、能源与清洁科技、物联网这4个行业的代码库100%包含开源代码。其余的垂直行业有93%-99%的代码库中包含开源代码。即使比例最低的行业——医疗保健、健康科技和生命科学——也仍然有高达93%代码库包含开源软件。足见,开源确实无处不在。
对此,新思科技开源治理专家王永雷表示,“软件正在继续吞噬我们的世界,而开源则在吞噬软件。调查发现,2021年开源安全漏洞的确稍有下降,但我们希望整个行业对于开源安全的重视越来越高,从而确保整个供应链的安全。”
2021年何以成为开源年
C114注意到,这份《2022年开源安全和风险分析》报告将2021年称为“开源年”。
报告称,在由Black Duck审计服务团队今年分析的2409个代码库中,有97%包含开源漏洞。81%包含至少一个公开开源漏洞,比2021的调查结果仅减少了3%。此外,包含至少一个高风险开源漏洞的代码库数量大幅减少;今年的被审代码库中只有49%包含至少一个高风险漏洞,比去年减少了11%。在这些审计中,13%的客户选择放弃安全和运营风险评估。
王永雷就此谈到,尽管审计中发现的高风险漏洞的减少令人鼓舞,但2021年仍然是充满开源问题的一年,包括供应链攻击、黑客利用Docker镜像的攻击、以及开发人员蓄意破坏自己的开源库从而破坏了数千个对其依赖的应用程序。特别是,2021年底在被广泛采用的Apache Log4j程序中新发现的零日漏洞。
他指出,Log4Shell最令人值得关注的地方并不是它的普遍性,而是它激发了人们的意识。随着该漏洞的发现,企业和政府机构被迫重新审视如何使用和保护主要由无偿志愿者而非商业供应商创建和维护的开源软件。该漏洞的发现还暴露了许多企业根本不知道其软件中使用了多少开源代码的问题。同时,Log4j事件还揭示了企业对开源软件的固有信任问题:大多数开发团队在使用开源软件时都没有像对待商业或私有软件那样进行安全审查。
“从合规层面来说,国内企业因使用GPL不当导致法律官司,这引起了更多企业的重视;从开源安全来看,今年中国信通院专门成立了开源安全研究组,我们最近也在开会研究针对开源的白皮书和规范等,从监管层面到组织机构都能明显感觉到重视程度的上升。最后,我们认为还是要构建开发者生态,更多地关注开发人员。”王永雷在接受C114采访时这样表示。
开源供应链存在巨大挑战
在分析软件开发流程的供应链风险时,他告诉我们,企业开发人员在构建整个软件时,可能会引入很多外部的依赖包。而这种依赖又是逐级的,很多时候开发人员甚至意识不到自己用到了组装起来的依赖包。而如果这个依赖包被污染了,风险就会很高。这种情况不管是上述的Log4j事件,还是NPM的删库事件,都凸显了其中的隐蔽性。
不过,王永雷谈到,标准风险管理服务并不涵盖软件风险,软件供应链目前还没有引起企业足够的重视。新思科技发现,每个应用程序平均有包含508个第三方组件,尤其是这些组件里面还会有相关联的漏洞。而相较于硬件来说,软件如果通过非托管采购方式的话,会处于一种无序的方式,并没有很好地纳入企业风险管理。
“比如一家公司开发一款软件时,首先可能会去搜索有没有一些开源组件可以拿过来用。还有一些第三方的库,以及基于开源组件做一些定制开发。这个风险是非常高的,因为企业专注于功能,往往缺乏一些开发安全实践。”
他表示,针对此,最近一两年,国际上通过Linux基金会孵化出的开源项目Open Chain推出来一个开源供应链标准ISO 5230,就提供了相应的规范和指导,包括上游如何操作,以及下游需要遵循什么样的规范,其核心是“要有流程和规范,并对员工进行培训,从而提高整体的合规性”。而新思科技就参与了其中一些标准的制定,“这样的规范可以降低大家的成本,也是构建一个核心的可信供应链的基石”。王永雷称,新思科技可以在企业整个软件开发过程中提供端到端的的安全解决方案。
值得一提的是,今年新思科技深度参与了信通院《开源安全深度观察报告》,还有《开源合规指南(企业篇)》白皮书的编写,该公司希望携手信通院一起提高整个中国开源产业的安全和合规的水平。“今年,我们新思科技的Black Duck再次高分通过了信通院的可信开源治理工具评估。在这个过程里面,我们展现了自身全面的语言支持能力,适应客户不同场景的扫描能力,还有企业级客户关注的高并发,分布式弹性部署,以及容器的可扩展性。”
最后,王永雷强调,对于采用开源代码的任何规模企业来说,首先最重要的是要有风险意识,只要具备了这种风险意识,剩下的事情就会好办很多。在整个使用过程中,企业要慢慢去积累最佳实践,并从上至下地践行风险管理,基于此,开源这把双刃剑一定会使更多的企业受益良多。