2022-05-31 13:47:20 来源:CIO时代网
本次直播由CIO时代联合创始人兼COO、新基建创新研究院秘书长刘晶主持,以“开源无处不在 安全迫在眉睫”为主题,邀请到了中国农业银行研发中心架构管理办公室专家赖强、新思科技资深安全专家王永雷参与直播活动,详细解析了开源软件的安全与风险,共同探讨开源软件未来发展的新态势。
2022开源安全和风险分析报告(OSSRA)
开源风险无处不在,开源供应链治理刻不容缓
王永雷 新思科技资深安全专家
总览《2022开源安全和风险分析报告》
2022年,又被称为了开源年,总览《2022开源安全和风险分析报告》可以发现,软件继续吞噬世界,而开源正在吞噬软件。报告显示,已有97%的代码库已使用开源代码,在使用风险上,87%的企业更关注合规性;在使用安全上,81%的被审代码库中包含至少一个漏洞;另外,许可证合规风险及无许可证的开源软件占比30%。但整体相较去年是呈下降趋势。
报告还显示,近六年来,开源软件的应用保持着爆发式持续增长的势头,开源始终走在发展的快速路上。在计算机硬件和半导体、网络安全、能源与清洁科技等领域中,开源软件的应用更是达到了百分之百。
开源软件供应链的安全与风险
Log4j漏洞事件圈内熟知,它说明企业对开源软件的固有信任问题:大多数开发团队在使用开源软件时,并没有像对待商业或私有软件那样进行安全审查。
其实,开源软件在开发流程中,存在易被攻击的供应链风险,其次标准风险管理服务并不涵盖软件风险。目前,在软件及开源软件的供应链管理上,是缺乏安全开发实践的。很多软件属于“非托管式”,多从外部直接下载使用,甚至第三方代码直接使用。是否经过安全评审,代码是否经过静态代码的扫描、安全的设计,是否遵守开源软件使用的法规和许可证要求,甚至专利的要求,以上风险均不可控。
开源软件的正确“打开方式”
首先,企业使用开源软件时,可以遵守SPDX标准(数据格式包交互标准),通过规范结合ISO5230开源合规标准,从流程上进行合规治理。其次,在使用中需回归到软件研发体系,提前进行开源组件的安全选型,并基于它过往的使用情况进行考察选用;在进行开源组件开发时做进一步的安全分析,也称为威胁建模,提前进行开源组件的风险分析,成熟度计划。最后,测试环节中,在偏仿生产环境及运维环境中针对质品进行扫描,防止开源组件出现偏移和污染,以及漏洞检测。
日前,在开源领域新思已取得了与中国信通院的合作,参与信通院的开源合规指南白皮书、开源安全深度研究报告的编写,积极推动着中国开源的合规和安全的治理水平。有理由相信,未来中国开源软件的应用会更加完善,前景更加美好。
金融行业的开源现状
赖强(中国农业银行研发中心架构管理办公室专家)
根据金融行业开源技术应用社区的调研,目前我国90%的金融机构都已引入开源软件,其中40%的金融机构使用了超1000个的开源软件或组件。同时,新思最新的《2022 开源安全与风险分析报告》结果显示开源软件在各行各业的使用量都非常大。
从开源的鸿蒙和安卓手机使用占比来看,大家平时生活过程中都会接触到开源软件。现在可以说,在工作、生活的方方面面,开源已无处不在。
王永雷(新思科技资深安全专家)
新思《2022 开源安全与风险分析报告》的显示,在17个调研的行业中金融科技和服务行业是重点关注的行业。数据结果显示,应用程序中开源有非常高的占比,97%的程序都使用了开源。
开源在银行业数字化转型中的重要作用及面临的挑战
赖强(中国农业银行研发中心架构管理办公室专家)
关于数字化转型,业务上发力数字经济,技术上全面上云。在农行的实践应用中,基于开源软件构建技术中台,并以此作为技术底座,实现了全领域支持应用实现,支撑农行数字化转型,更好的服务“三农”和乡村振兴。
在开源使用过程中遇到的问题,概括起来有以下四个方面:一是开源代码的漏洞问题;二是许可协议的风险;三是软件兼容适配问题;四是缺乏持续的支持服务。使用开源需要做技术选型,由于开源发展快,一旦技术路线选的不准确,未来的转换成本非常高,这是目前面临的主要挑战,所以前期引入开源软件时的评估是非常必要的。
开源软件便捷性与安全性之间的平衡
赖强(中国农业银行研发中心架构管理办公室专家)
所有的风险都源自不了解。
以农行为例,现阶段已构建开源软件可信仓库,在研发生命周期里由专业的安全专家负责组织组安全防护。这样使用开源软件,既保证了最终用户、研发人员、开发人员的便捷性,又保证了企业的组织级安全,不会轻易地被黑客利用到漏洞。
目前,已建成端到端体系化管理、汇报、处理的管理流程,并依靠“两录两库”(“两录”指开源软件目录、开源协议目录;“两库”指开源的制品库和漏洞库)来保证开源软件的安全,充分保证开源软件引入的合规性、合法性以及投产上线的安全、便捷。
在整个生命周期内,主要从两个生命周期去保证开源可信和实施风险管控:一是内部的软件研发生命周期;二是外部的供应链管理。所有第三方提供的代码,都要进行相应的安全检查和测评,确保所有漏洞及时被修复,不会被外部攻击轻易的利用。
王永雷(新思科技资深安全专家)
以实际案例来看,很多企业目前缺少端对端的管理过程。所以,如何建立一套端到端的管理流程,将“管”落实到位建立安全意识,重视安全。在流程体系层应有可追溯、可落地的实践方案。同时,要利用相关工具提供坚实的基础,以新思的BlackDuck为例,可以为开源软件提供多因子的识别技术,高效快速,准确且覆盖全面,希望能够帮助企业构建全自动高效安全的开源管理体系架构。
开源软件数据泄露风险的规避
赖强(中国农业银行研发中心架构管理办公室专家)
数据泄露风险与开源软件本身没有必然关系,非开源软件同样也会产生数据泄露。因此,管理好开源软件就可以规避这类风险,核心是建立企业级的开源软件可信评估模型,对开源软件的可信度及系统是否可承受数据泄露风险进行评估,包括容灾备份能力,网络安全等级、系统重要程度等,按风险程度采取相应的安全措施,正确使用开源软件,避免产生风险。
王永雷(新思科技资深安全专家)
从另一个维度的安全漏洞来看,漏洞定义为低风险或低分并没有引起安全人员的重视,但也同样有可能造成数据泄露。所以,安全从业者在关注漏洞时,除了关注高风险及严重风险外,也需要关注它的攻击面以及攻击面所导致的数据泄露风险或服务中断风险。
开源软件未来的发展趋势
赖强(中国农业银行研发中心架构管理办公室专家)
目前关注的重点在开源软件的安全和可信问题,是优先级解决项。风险问题基本解决之后,关注的重点就会转到解决数字化供给能力,特别是开源软件能不能为企业数字化转型提供足够的技术能力供给。
未来,开源会向支持社会化创新的方向转变,进一步渗透到用户侧;用户对开源技术创新的作用将变得更大,联合创新是主要的趋势。并且,内部开发人员能更加熟练地掌握开源技术,开源安全治理将走向自治化,开源软件将成为安全可信的软件。
王永雷(新思科技资深安全专家)
未来的发展有两大趋势:一,世界各国都在大力鼓励通过开源进行开放式创新。在开源生态建设中,将呈现企业、高校、基金会等组织积极参与的良好态势;二,开源生态的建设将融合国内外的环境,构建良性的、可持续性的、可发展性的生态。不仅要安全可信,并通过开放式协作与创新,真正地帮助到社会乃至于国家提升创新力,提升竞争力,这将是我们的追求和目标。
【结语】
至此,本次直播活动圆满结束。错过直播的小伙伴可以关注CIO时代公众号“CIO时代网”,查看直播回放。
随着数字化技术的广泛应用,开源在技术创新、效率提升、成本降低等方面的优势进一步凸显,日益成为各领域的技术底座,而中国开源也已经进入到加速阶段,希望能够通过本期CXO直播间,通过交流与探讨,探寻开源技术的创新发展之路,实现开源在推动各领域技术发展的创新引擎作用。
错过直播的小伙伴可以关注CIO时代公众号“CIO时代网”,查看直播回放。我们会持续推出相关活动,欢迎大家持续关注。
免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。