江苏龙网

  1. 首页 > 资讯 > 科技 > >

开源|新趋势,开源组件治理的安全问题不可忽视

【摘要】国家关键基础软件亟待发展 , 而保障软件安全则是重中之重 。 开源网安作为“软件安全行业的创领者” , 对开源组件治理等提供相应的解决方案和技术支持 , 助力我国软件产业的稳健发展 。
国产软件行业面临巨大挑战
近期 , 中科院推出了“率先行动”计划 。 中科院院长白春礼表示:“当前国家科技的发展正在转型 , 经济高质量发展也需要科技高质量发展 。 面临着美国对中国高科(600730,股吧)技产业的打压 , 我们希望在这方面能够做一些工作 。 前期我们已经做了一些工作 , 未来十年我们还会针对一些卡脖子的关键问题做一些新的部署 。 要把美国卡脖子清单变成科研任务清单 。 瞄准目标 , 集智攻关 , 向科技广度和深度进军;遵循科学发展规律 , 培育创新土壤 , 科技创新必能喷涌而出 。 ”
开源组件的安全应用对国内各行各业的重大影响
软件的健康发展依赖于良好的软件生态系统支持 , 在当前的移动互联网、云计算、大数据、人工智能、区块链等众多领域内 , 开源技术经历了快速发展 , 已逐渐形成技术主流, 并成为软件生态中重要且不可替代的组成部分 , 从基础软件到应用软件都充斥着大量的开源组件 , 开源技术正在渗透软件领域的方方面面 。
开源组件的引入 , 可以帮助企业加速创新、占领市场 。 但是 , 开源组件的普及和使用带来的风险也不容忽视:如开源组件的运维和管理风险、漏洞和数据安全风险、合规和知识产权风险等 , 都需要企业深入考虑进行开源组件治理 。
企业将开源组件集成到自身产品或解决方案中时 , 会在法律或业务执行层面面临不同的风险 , 如:合规性风险、安全性风险、技术性风险 。 一旦风险暴露 , 将造成巨大的损失 。 例如 , 当商业软件里使用GPL2.0 , 自由软件基金会有权要求将整个项目代码宣布开源 , 企业辛辛苦苦积攒的产品优势 , 与竞争对手的差距都将不复存在 , 商业损失巨大 。 同时 , CVE漏洞库目前记录约有14万条安全漏洞 , 其中约2/3源自于开源组件 , 且多数开源许可证也不承诺为它们自己的项目安全性负责 , 导致企业引入开源组件时会被动引入安全漏洞 , 造成了安全性风险 。 此外 , 当企业引入越多的开源组件 , 将导致开发运维工作量越大 , 对技术人员的要求越高 , 在各阶段响应须更及时 , 才能应对业务承载能力 , 更多的技术性风险将无法避免 。
因此 , 开源组件治理的安全问题已引起了国内金融、房地产、医疗等行业的高度关注 。 企业需要对开源组件进行治理 , 并从规范体系、人才培养、落地实践等多方面着手 。 企业就开源组件治理方面进行软件组件分析时 , 将会面临一些典型的场景:企业内部对开源合规性及安全性检测 , 满足政府部门的监管开源占比政策要求 , 跨国企业合作明确责任安全报告 , 企业兼并过程有关软件资产合规审计 , 知识产权纠纷司法鉴定审计等等 。 针对上述场景 , 企业需要借力应对 , 通过开源治理工具或平台进行体系化的跟踪 , 把相关信息发布出来 , 将使用情况和管理信息可视化展示 , 才能够保障开源组件治理有效的推进 。
国内开源组件治理公司已经崛起
一些国内企业已经有成熟的产品能够保障开源组件治理有效的推进 , 如开源网安提供的SCA产品:开源组件安全及合规管理平台(简称SourceCheck) , 可用于第三方组件安全管控 , 包括企业组件使用管理 , 组件使用合规性审计 , 新漏洞感知预警 , 开源代码知识产权审计等 , 支持对源码及发布包检测 , 是OWASP Top 10中“使用含有已知漏洞的组件”安全风险的最佳解决方案 。
SourceCheck SCA可提供企业级的软件资产分布可视化、软件资产跟踪定位、根据已知漏洞定位组件、新漏洞发布后的自检与预警、自研组件识别、威胁分析、跟踪定位、组件、漏洞数据的态势感知、许可和知识产权检测、组件管控等功能 。


推荐阅读


上一篇:新机发布|iPhone 12 将于10 月中发布?网传13 日亮相16 日开订

下一篇:京东|京东启动双十一:10月18日开启 推"京喜"进击下沉市场