隨著整個社會加速數(shù)字化、網(wǎng)絡(luò)化、智能化,開源已經(jīng)成為勢不可擋的趨勢,驅(qū)動云計算、大數(shù)據(jù)、人工智能等技術(shù)和產(chǎn)業(yè)的進步。而隨著開源產(chǎn)業(yè)繁榮興起,開源的安全問題也備受關(guān)注。
近日,新思科技發(fā)布了《2021年開源安全和風(fēng)險分析》報告(OSSRA)。該報告由新思科技網(wǎng)絡(luò)安全研究中心(CyRC)制作,研究了由Black Duck審計服務(wù)團隊執(zhí)行的對超過1500個商業(yè)代碼庫的審計結(jié)果。
報告重點介紹了在商業(yè)應(yīng)用程序中開源應(yīng)用的趨勢,以及開源所帶來的安全隱患,包括安全漏洞、過期或廢棄的組件以及許可證合規(guī)性問題。
“軟件吞噬世界,開源吞噬軟件”這句話在業(yè)界非常流行。新思科技軟件質(zhì)量與安全部門軟件應(yīng)用安全解決方案工程師王永雷表示,從報告涉及的17個行業(yè)可以看到,開源代碼的比例最低為48%,最高為89%。開源已經(jīng)成為行業(yè)絕大多數(shù)應(yīng)用程序的基礎(chǔ)。
另外,從2016年到2020年,開源代碼比例呈現(xiàn)線性增長,從2016年的不到40%發(fā)展到2020年突破70%。
隨著開源變得無處不在,合規(guī)風(fēng)險也隨之而來。OSSRA報告顯示,95%的營銷科技公司的代碼庫存在開源漏洞;98%的醫(yī)療保健行業(yè)代碼庫包含開源,其中有67%的代碼庫存在漏洞;97%的金融服務(wù)/金融科技行業(yè)代碼庫包含開源,其中超過60%的代碼庫存在漏洞;92%的零售和電子商務(wù)行業(yè)代碼庫包含開源,其中71%的代碼庫存在漏洞。
王永雷說,由于疫情影響,線上營銷需求旺盛。這就導(dǎo)致營銷科技應(yīng)用程序漏洞的比例非常高。不過,物聯(lián)網(wǎng)、互聯(lián)網(wǎng)等行業(yè)的安全漏洞比例在下降,主要是由于這些行業(yè)的安全意識不斷提高。
2020年,包含存在漏洞的開源組件的代碼庫百分比為84%,較2019年上漲了9%。同樣,包含高風(fēng)險漏洞的代碼庫的百分比從49%上升至60%。2020年的審計中再次發(fā)現(xiàn)了2019年在代碼庫中發(fā)現(xiàn)的幾個十大開源漏洞,并且所有這些漏洞的百分比均有顯著增加。
此外,超過90%經(jīng)審計的代碼庫含有許可證沖突、自定義許可證或根本沒有許可證的開源組件。2020年審計的代碼庫中,65%包含存在許可證沖突的開源組件,通常涉及“GNU通用公共許可證”。26%的代碼庫采用沒有許可證或定制許可證的開源代碼。這三種問題有潛在的侵權(quán)和其它法律風(fēng)險,通常需要進行評估,尤其涉及到合并和收購交易的時候。
關(guān)注風(fēng)險與開源治理
隨著互聯(lián)網(wǎng)化和在線化以及云端應(yīng)用的增加,企業(yè)需要將關(guān)注點放在風(fēng)險治理上面,畢竟被攻擊的風(fēng)險和數(shù)據(jù)的泄露將導(dǎo)致公司名譽的損失,比如Equifax信息泄露事件。
雖然開源業(yè)界有著“Linus Law”這一說法,但是開源項目缺乏維護的現(xiàn)象也十分嚴(yán)重。OSSRA顯示,廢棄開源組件仍在被廣泛使用。高達91%的代碼存在開源依賴項,這些開源組件在過去兩年內(nèi)沒有任何開發(fā)活動——沒有進行代碼改進,也沒有任何安全修復(fù)。
同時,85%的代碼庫含有至少四年未曾更新的開源依賴項。與廢棄項目不同,這些過時的開源組件擁有活躍的開發(fā)人員,但是他們發(fā)布的更新及安全補丁卻沒有被下游商業(yè)消費者所采用。除了忽略應(yīng)用補丁會帶來的明顯安全隱患之外,使用過時的開源組件還可能帶來技術(shù)上的麻煩,包括與將來更新相關(guān)的功能問題和兼容性問題。
這種風(fēng)險可以稱之為運維風(fēng)險,這與開源社區(qū)息息相關(guān),比如社區(qū)的活躍度、貢獻者的代碼修復(fù)情況。此外,隨著社區(qū)的國際化合作增多,需要尊重本地市場的合規(guī)要求,比如是否涉及加密算法等。
王永雷表示,開源的安全問題有時候隱藏在代碼邏輯里面,并不容易找到。而且找到之后,沒有機制進行及時的通知和修復(fù)或者沒有人維護,這也會帶來很大的問題。所以企業(yè)需要良好的開源治理。
為此,我們需要構(gòu)建完整的BOM物料清單,了解企業(yè)組織里使用了哪些開源組件。新思科技提供了覆蓋全場景掃描需求的多因子探測技術(shù),幫助企業(yè)自動化識別開源組件和代碼的使用情況。
王永雷說,將開源組件自動化識別出來是企業(yè)開源軟件治理的基礎(chǔ),在此之上Black Duck提供了從識別到保護、合規(guī)、治理的端到端解決方案。“該方案具有輕量級的特點,能夠融入到整個軟件開發(fā)過程,實現(xiàn)開源治理、安全、合規(guī)、運營一體化。”
當(dāng)前軟件開發(fā)流行DevOps、CI/CD集成,其實從集成的角度看,新思科技把軟件開發(fā)和部署分為五個階段——設(shè)計、提交代碼、構(gòu)建、測試、生產(chǎn)。在整個軟件開發(fā)生命周期中,我們可以采用兩個治理思路,一個是主動治理,一個是被動治理。
