由中國信通院,、中國通信標(biāo)準化協(xié)會主辦,,云計算標(biāo)準和開源推進委員會承辦的“2022 OSCAR開源產(chǎn)業(yè)大會”在北京舉行,大會上發(fā)布了《全球開源生態(tài)研究報告(2022年)》(以下簡稱“報告”),。
報告首次梳理了全球開源生態(tài)發(fā)展對數(shù)字經(jīng)濟的積極影響,,并總結(jié)了開源對各技術(shù)領(lǐng)域的重要驅(qū)動。同時,,從全球開源生態(tài)趨勢演進,、開源項目穩(wěn)步增長、開源社區(qū)多態(tài)均衡發(fā)展,、開源應(yīng)用持續(xù)提升,、開源投融資異常火熱,、開源風(fēng)險影響凸顯等多方面進行全面洞察,,并結(jié)合現(xiàn)有形勢展望了我國開源生態(tài)的發(fā)展機遇,為開源行業(yè)從業(yè)者提供重要參考,。
開源作為數(shù)字經(jīng)濟時代一種新思維,、新模式,對促進數(shù)字技術(shù)創(chuàng)新,、優(yōu)化軟件生產(chǎn)模式,、賦能傳統(tǒng)行業(yè)轉(zhuǎn)型升級、推動企業(yè)降本增效具有重要作用,,為全球數(shù)字經(jīng)濟高速發(fā)展注入無限活力,。與此同時,開源生態(tài)繁榮發(fā)展背后,,風(fēng)險隱患備受關(guān)注,。
開源代碼安全問題凸顯,影響較為嚴重
2015年-2020年開源安全漏洞數(shù)量及變化趨勢
代碼庫中的安全漏洞風(fēng)險較為嚴重。根據(jù)Snyk和Linux基金會2022年發(fā)布的開源安全調(diào)查報告,,一個應(yīng)用程序開發(fā)項目平均有49個漏洞和80個直接依賴項,,此外,修復(fù)開源項目漏洞所需的時間也在穩(wěn)步增加,。
全球重點行業(yè)開源代碼庫安全風(fēng)險熱力圖
物聯(lián)網(wǎng),、航天、互聯(lián)網(wǎng)行業(yè)的安全風(fēng)險極為突出,。根據(jù)新思科技《2022開源安全與風(fēng)險分析報告》顯示,,2021年的統(tǒng)計數(shù)據(jù)中包含開源漏洞的代碼庫最高的五個的行業(yè)有物聯(lián)網(wǎng)、航空航天,、汽車,、運輸和物流、互聯(lián)網(wǎng)和移動APP,。最低的三個行業(yè)為網(wǎng)絡(luò)安全,、電信和無線、互聯(lián)網(wǎng)和軟件基礎(chǔ)架構(gòu),。
組件漏洞開源依賴傳播范圍
開源漏洞傳播性風(fēng)險非常嚴重,。根據(jù)國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心發(fā)布的《2021年開源軟件供應(yīng)鏈安全風(fēng)險研究報告》顯示,原始樣本中有6416個開源組件,,受組件依賴關(guān)系的影響,,開源漏洞一級傳播一共波及801164個直接依賴組件,其影響范圍擴大125倍,。二級傳播一共波及1109519個間接依賴組件,,影響范圍擴大174倍。開源模式下開源軟件傳播快,、應(yīng)用廣,,客觀上加劇了安全漏洞傳播的速度和范圍,造成傳染性傳播的局面,。
開源許可證無處不在
合規(guī)風(fēng)險得到逐漸重視
隨著各行各業(yè)越來越多地使用開源代碼,,圍繞開源合規(guī)的討論成為焦點。軟件自由保護協(xié)會訴訟Vizio違反GPL,、甲骨文訴谷歌版權(quán)侵權(quán)案塵埃落定等事件表明,,軟件行業(yè)對于開源法務(wù)和合規(guī)的意識正在增強,開源許可證風(fēng)險值得關(guān)注,。
包含無許可證或自定義許可證的開源代碼庫占比
根據(jù)新思科技發(fā)布的《2022開源安全與風(fēng)險分析報告》指出,,2021年審計的代碼庫中有53%包含有許可證沖突的開源代碼,有17%存在許可證兼容性問題,。無許可證或自定義許可證問題得到改善,。
供應(yīng)鏈風(fēng)險較為隱蔽
發(fā)展形勢極其嚴峻
開源軟件供應(yīng)鏈關(guān)系網(wǎng)絡(luò)復(fù)雜,,蘊含嚴重風(fēng)險問題。目前,,“供應(yīng)鏈”通常牽涉數(shù)十個(甚至數(shù)千個)個體開發(fā)人員,、組織機構(gòu)、軟件片段以及將它們交織在一起的工具,、策略和程序,。雖然這種趨勢降低了編程人員的準入門檻、縮短了產(chǎn)品的上市時間,,但同樣也留下了嚴重的風(fēng)險隱患,,主要包括關(guān)鍵開源組件的可持續(xù)維護挑戰(zhàn)。
基于此,,安全419啟動了軟件供應(yīng)鏈安全解決方案系列調(diào)研,,邀請細分領(lǐng)域內(nèi)代表廠商分享自身前沿觀點、創(chuàng)新技術(shù)和最佳實踐,,希望為企業(yè)組織更好應(yīng)對軟件供應(yīng)鏈面臨的風(fēng)險與挑戰(zhàn)提供參考借鑒,。
開源風(fēng)險管控機制不完善,未來開源風(fēng)險將進入集中暴露期,。根據(jù)Snyk和Linux Foundation調(diào)查結(jié)果,,只有49%的組織制定了開源軟件開發(fā)或使用的風(fēng)險管控策略,,企業(yè)更偏向于對功能需求的驗證,,忽視了源代碼和使用的基礎(chǔ)開源組件的安全性。
企業(yè)未建立完整的開源軟件使用管理機制,,導(dǎo)致開發(fā)人員對開源軟件基本處于“只用不說”的狀態(tài),,企業(yè)更無法了解正在使用的軟件系統(tǒng)是否包含了開源軟件。一旦軟件產(chǎn)品交付,,開源軟件的風(fēng)險問題也將為整個信息系統(tǒng)的安全運營帶來極大的安全挑戰(zhàn),。
如果產(chǎn)業(yè)不能建立完善的開源安全審查評估和風(fēng)險治理機制,開源風(fēng)險事件數(shù)量將不斷攀升,、發(fā)生頻率將不斷提高,、后果將越發(fā)嚴重。用戶針對軟件供應(yīng)鏈安全所面臨的問題也亟待解答,,安全419近日啟動了《軟件供應(yīng)鏈安全解決方案》系列訪談選題,,邀請領(lǐng)域內(nèi)代表廠商分享自身創(chuàng)新技術(shù)和最佳實踐,希望為企業(yè)應(yīng)對開源軟件風(fēng)險提供參考借鑒,。在此,,也歡迎更多具備相關(guān)能力的優(yōu)秀廠商參與該選題,一同守護開源生態(tài)安全,。
更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<