思探明×《2022中国开源发展蓝皮书》|守护安全共筑开源未来
时间:
2022-08-29 12:50:01

  导读:《2022中国开源发展蓝皮书》由中国开源软件推进联盟(COPU)牵头,联合中国开发者网络(CSDN)、北京开源创新委员会、开放原子开源基金会、中国电子信息产业发展研究院、中科院软件研究所等 85 家企业及行业机构、120 多位开源专家和志愿者共同协作编撰完成,旨在全面展现当前中国开源发展的全景图,为国家政府相关管理部门、科研院所、科技企业以及开源从业者提供更多的理论参考和数据支撑,进一步助力我国开源生态的蓬勃发展。”

  7月21日,《2022中国开源发展蓝皮书》在2022(第十七届)开源中国开源世界高峰论坛上隆重发布。由新加坡南洋理工大学计算机学院教授、Scantist联合创始人刘杨博士带领的科学家团队作为蓝皮书工作组特邀专家智库成员,结合国际与本地视角从技术角度提供了内容支撑和观点凝练,并为其贡献了研究成果与智慧力量。

  思探明信息科技有限公司(Scantist China)也作为支持单位有幸受邀参与了蓝皮书整体大纲的讨论以及“开源面临技术安全风险”专题的部分编写工作,共同为中国开源产业在创新中实现健康可持续发展作出积极贡献。

  思探明在开源治理和智能化软件工具能力建设上拥有多年的行业沉淀,既专注于科研和数字化,又通过产品和服务组合创新、生态合作以及技术赋能,结合团队的实战落地经验,围绕业务场景与技术变革的需求,长期并持续参与开源生态建设和推广。

  在本版2022《蓝皮书》内容中,思探明基于对开源发展的挑战的理解,剖析了开源软件安全的关注点及各方需要应对并采取的相应措施,其中包含对开源软件供应方和使用方的参考信息及倡议。

  近年来,开源在各行业及各领域得到广泛应用,国内的开源生态整体呈现出蓬勃发展的态势。据统计,我国企业软件几乎都使用了开源代码,流行开源软件被近1/4的软件项目使用。然而,开源软件生态系统庞大,涉及技术、法律、供应链、人才等多个环节,任何一环出现问题,开源软件的发展都将面临挑战。

  目前,二进制文件是唯一可以进行分析检测的对象,但大多数二进制文件都经过了混淆、加壳的处理,给组件成分分析带来了巨大的困难和挑战。同时,从二进制文件推导出组件及版本的精确度问题也需要解决。此外,在进行开源软件克隆检测时,需要有一个巨大的开源软件源代码数据库作为支撑,而如何高效地在海量代码片段中检索到被检测软件的克隆特征,进而进行同源分析,并减少人工确认的工作量、减少误报是工业界面临的一个问题。

  为了解决以上挑战,建议开源软件供应方、开源软件使用方分别采取相应措施进行应对。

  1. 在运营成本可控的前提下,制定开源软件安全开发管理规范,设立安全专业的安全运维管理团队,定期发布安全漏洞自查检测结果,积极响应社区、用户、社会的安全漏洞发现,及时修补相应的安全漏洞。

  2. 建立并管理、维护一套统一标准且可传递的软件组成成分清单和完善的准入审核机制及方法。对每一个提交进行开源相似度、版权审查的同时,进行严格的组成成分、安全及许可证审查,坚决禁止人为后门的存在,严格控制高危漏洞数量,保证开源项目的健康成长。

  3. 开源供应方充分利用社区、托管平台、开源安全产品供应商等生态资源,为开源贡献者提供一套完整易用的开源安全工具链,完成代码安全开发、许可证合规审计、版权审计、安全审计、开源组件对比选型等任务。

  1. 建立安全规范可信的开源下载源:目前开源下载源鱼龙混杂,一方面增加了依赖管理的难度,另一方面也为IDE投毒、提交缺陷代码、代码版本不一致、攻陷代码平台、篡改代码、不安全组件引入等各种安全风险提供了生长空间。

  2. 建立软件物料清单管理规范:软件物料清单(SBOM)能帮助企业确定是否容易受到软件组件中已被发现的安全漏洞的影响,无论这些组件是内部开发的、商业采购的还是开源的软件库。

  3. 推行开源治理:行业组织、企业定期盘点开源资产,构建完整的依赖关系图谱,以应对紧急状况下的安全响应。同时,针对开源软件建立完善的引入审批、技术评估、合规使用、漏洞检测、更新维护、应急处置、停用退出制度。

  未来,思探明信息科技将继续发挥开源安全及治理领域先行者优势,不断强化创新能力,携手业界伙伴为中国开源产业高质量发展注入新能量,聚力融合打造新引擎,促进行业共建共治共享,为开源产业发展带来更强增长动力。(作者:Scantist China)