如果要问近年来软件行业的热点是什么,那么日益风靡的开源代码无疑会榜上有名。新思科技网络安全研究中心 (CyRC)
编制的《2022年开源安全和风险分析》报告(简称OSSRA)表明,开源组件在每个行业都被广泛使用,并且是当今所有应用程序的构建基础。
但相应的,开源软件在带来优势和益处的同时,也必然会带来不可测的安全风险,包括安全漏洞、过期或废弃的组件以及许可证合规性问题。对此,新思科技开源治理专家王永雷在接受我们的采访时,详细剖析了开源供应链的风险问题,并给出了新思科技的应对之策。
开源吞噬软件
说开源代码已经成为热点,那么它究竟热到什么程度?对此,王永雷表示,2021年开源代码的比例已经高达78%,计算机硬件和半导体、网络、能源与清洁科技、物联网这四大行业均100%地使用到了开源软件,开源在促进全球的软件创新方面发挥着越来越重要的作用。
所以,不夸张地说,“软件继续吞噬世界,而开源在吞噬软件”,这已经是一个新的趋势。
但一个显而易见的问题是,基于开源软件的特点,它越是成为主流,就越可能带来潜在的安全风险。诸如缺少维护的开源组件、高风险开源漏洞以及许可证合规性等。那么,OSSRA报告中有哪些新的调查结果和新的洞察?以及这些结果预示了什么样的趋势?
不容忽视的开源供应链风险
OSSRA报告表明,使用过时的开源组件仍然是常态。以Black
Duck审计服务团队今年分析的2097个代码库为例,85%的代码库中包含至少四年未更新的开源代码,88%的代码库中包含过时版本的组件,5%的代码库含有易受攻击的Log4j版本。
王永雷重点提到了Log4j漏洞,他表示:“Log4j在安全圈里堪称核爆级事件。”因为Log4j漏洞可让攻击者在目标计算机上远程执行代码,从而窃取数据、安装恶意软件或者实施控制。“由于Log4j是一个基础性的软件,隐匿性强,所以许多企业意识不到这一点。而我们发现15%的代码实际都会受到Log4j漏洞的影响”。
而企业往往等到过时的组件变成一个易受攻击的高风险漏洞,才慌忙查找这个组件用在哪里,然后去进行更新。这正是Log4j面临的情况,也是软件供应链成为当下行业热点的原因。提到这一点,王永雷表示,实际软件的整个开发流程也存在着供应链风险,需要进行决策和风险控制。
另外,上述经过评估的2097个代码库显示,开源漏洞数量总体减少,许可证冲突总体上也在减少。可30%的被审代码库中都包含无许可证或使用定制许可证的开源代码。这意味着不能合法地使用、复制、分发或修改该软件,否则会带来法律风险或非预期的要求。
新思推动开源供应链合规
面对日益严峻的风险问题,新思科技从技术和行业标准两个层面着力推进。
技术层面,拥有Rapid Scan快速扫描功能的新思SCA工具,可以对应用程序的已编译的二进制文件进行漏洞扫描,从而可减少开源许可证冲突和解决高风险漏洞。专业的检测工具覆盖了软件开发的全过程,为客户提供全方位的端到端解决方案。
行业标准层面,新思科技积极参与了Linux基金会旗下软件包数据交换(SPDX)国际标准的制定。SPDX被公认为软件供应链工件的开放标准,包括全套许可证合规性和安全性。
此外,新思科技还与中国信通院合作,深度参与了信通院《开源安全深度观察报告》和《开源合规指南(企业篇)》白皮书的编写,Black
Duck软件组件分析工具(SCA)也再次通过了信通院的可信开源治理工具评估。作为Linux基金会下Openchain项目国内首家第三方测评机构,中国信通院积极服务于开源合规性治理,新思科技与之的合作可谓是天作之合。
2022年06月06日 于上海
版权作品 未经许可 请勿转载
|