您当前的位置:科技视窗网 > 要闻
10

软件吞噬世界,开源吞噬软件:那么,其中风险如何?

时间:2022-05-26 19:34:27    来源:C114通信网    阅读量:10433   

开源软件在推动全球软件创新方面发挥着越来越重要的作用新思科技发布的最新报告《2022开源安全与风险分析》显示,从2016年至今,全球开源代码占比持续上升,过去5年翻了一番,2021年达到78%而以开源为业务的公司也呈现出蓬勃发展的态势

这份报告显示,通过对17个行业的开源扫描,发现计算机硬件与半导体,网络安全,能源与清洁技术,物联网四个行业的代码库100%包含开源代码其他垂直行业有93%—99%的代码库包含开源代码即使是比例最低的行业mdashmdash医疗保健,卫生技术和生命科学mdashmdash仍然有多达93%的代码库包含开源软件说明开源无处不在

对此,新思科技开源治理专家王表示,软件在继续吞噬我们的世界,而开源在吞噬软件据调查,2021年开源安全漏洞确实略有下降,但我们希望整个行业越来越重视开源安全,从而保证整个供应链的安全

为什么2021年是开源之年。

C114注意到,这份名为2021 的报告《2022开源安全与风险分析》,开源。

报告显示,黑鸭审计服务团队今年分析的2409个代码库中,97%包含开源漏洞81%包含至少一个开源漏洞,仅比2021年的调查结果少3%此外,包含至少一个高危开源漏洞的代码库数量大大减少,今年只有49%的审查代码库包含至少一个高危漏洞,比去年减少了11%在这些审计中,13%的客户选择放弃安全和运营风险评估

王表示,虽然审计中发现的高危漏洞减少令人鼓舞,但2021年仍然是充满开源问题的一年,包括供应链攻击,黑客利用Docker镜像的攻击以及开发者故意破坏自己的开源库,从而摧毁成千上万依赖于它们的应用特别是2021年底,在广泛使用的Apache Log4j程序中发现了一个新的零日漏洞

他指出,Log4Shell最值得注意的不是它的普适性,而是它激发了人们的意识伴随着这一漏洞的发现,企业和政府机构被迫重新审视如何使用和保护主要由无偿志愿者而非商业供应商创建和维护的开源软件这个漏洞的发现也暴露了很多企业根本不知道自己的软件中使用了多少开源代码的问题同时,Log4j事件也暴露了企业对开源软件的固有信任:大多数开发团队在使用开源软件时,并没有像对待商业或私有软件一样进行安全审查

从合规角度看,国内企业不当使用GPL导致法律诉讼,引起更多企业关注,从开源安全的角度,今年,中国信通院成立了开源安全专项研究组最近,我们还召开了一次会议,研究关于开源的白皮书和规范从监管层面到组织架构,都可以明显感觉到越来越重视最后,我们认为应该建立一个开发者生态系统,更加关注开发者王在接受C114采访时说

开源供应链面临巨大挑战。

在分析软件开发过程的供应链风险时,他告诉我们,企业开发者在构建整个软件时,可能会引入很多外部依赖包而且这种依赖是一步一步来的,很多时候开发者甚至没有意识到自己已经使用了组装的依赖包而如果这个依赖包被污染了,风险就高了这种情况,无论是上述的Log4j事件,还是NPM的删除事件,都凸显了其隐蔽性

可是,王表示,标准的风险管理服务并没有涵盖软件风险,而且软件供应链也没有引起企业的足够重视新技术发现,每个应用程序平均包含508个第三方组件,尤其是这些组件中的相关漏洞软件相对于硬件来说,如果通过非托管的方式购买,会比较无序,没有很好的纳入企业风险管理

例如,当一个公司开发一个软件时,它可能首先搜索一些可以使用的开源组件还有一些第三方库和一些基于开源组件的自定义开发这种风险非常高,因为企业专注于功能,往往缺乏一些开发安全实践

他表示,针对这一点,最近一两年,Linux基金会孵化的国际开源项目Open Chain推出了一个开源供应链标准ISO 5230,提供了相应的规范和指导,包括上游如何操作,下游应该遵循什么样的规范它的核心是要有程序和规范,要对员工进行培训,提高整体合规新思科技参与了其中部分标准的制定,这样的标准可以降低大家的成本,也是构建核心可信供应链的基石,王表示,信思科技可以在企业整个软件开发过程中提供端到端的安全解决方案

值得一提的是,今年新思科技深度参与了《ICT开源安全深度观察报告》和《开源合规指南白皮书》的编写公司希望与ICT携手,提升中国开源行业的安全和合规水平今年,我们信思科技的黑鸭再次以高分通过了ICT院可信开源治理工具的测评在这个过程中,我们展示了我们全面的语言支持能力,适应客户不同场景的扫描能力,企业级客户所关注的高并发,分布式灵活部署和容器可扩展性

最后,王强调,对于任何一个做开源代码的企业来说,首先也是最重要的是要有风险意识只要你有这个风险意识,剩下的事情就好办多了在整个使用过程中,企业要逐步积累最佳实践,自上而下进行风险管理基于此,开源这把双刃剑一定会让更多的企业受益


声明:本网转发此文章,旨在为读者提供更多信息资讯,所涉内容不构成投资、消费建议。文章事实如有疑问,请与有关方核实,文章观点非本网观点,仅供读者参考。

为您推荐
  • 2022京东云峰会广州站举行,以数智供应链服务广东产业数字化

    2022京东云峰会广州站举行,以数智供应链服务广东产业数字化
    日前,以数字智能供应链驱动新增长为主题的京东云城市峰会广州站成功举办本次活动围绕在当前不确定的行业环境下,企业关注的发展韧性,数字化升级等话题展开京东云发布了多项基于京东的解决方案COM围绕数字化智能供应链的领先供应链实践,来自广东零售,交......
    2022-05-26

  • 首届全球绿氢大会中国区平行论坛在北京大兴成功举办

    首届全球绿氢大会中国区平行论坛在北京大兴成功举办
    大兴国际氢能示范区作为全球绿色氢组织的战略合作伙伴,共同举办了中国区域平行论坛平行论坛围绕中国:绿色氢动力,氢能产业发展中长期规划的主题,与全球绿色氢产业同仁共同探讨可再生能源和绿色氢的发展模式和思路,呼吁全世界认识和关注能源转型,实现全球......
    2022-05-18

  • 80% 的 Steam top 100 游戏已支持在 Linux 系统中游玩

    80% 的 Steam top 100 游戏已支持在 Linux 系统中游玩
    IT之家 12月21日消息,根据统计平台ProtonDB的数据,80%的Steamtop100游戏已支持在Linux系统中游玩。根据报告数据,支持运行的评分标准为:白金:开箱即玩,完美运行金:经过调整后完美运行银:虽然有小问题,但......
    2021-12-23

  • OpenCloudOS 开源操作系统社区成立,腾讯等倡议发起:完全中立、全面开放

    OpenCloudOS 开源操作系统社区成立,腾讯等倡议发起:完全中立、全面开放
    IT之家 12月23日消息,12月22日,开源操作系统社区OpenCloudOS正式宣布成立,腾讯及宝德、北京初心、北京红旗、飞腾、浪潮、龙芯中科、OPPO、先进开源、中电科申泰、中科方德、兆芯等20余家操作系统生态厂商及用户成为......
    2021-12-23

  • 获得场景视频常江出席2021培博会 高效赋能企业在线学习

    获得场景视频常江出席2021培博会 高效赋能企业在线学习
    ▲获得场景视频常江出席2021培博会近期,2021培博会在北京盛大举行,获得场景视频人力资源中心及业务拓展中心副总裁常江受邀出席了本次会议,与现场各行业知名企业家、学者共聚一堂,从行业发展、组织发展、技术变革等方面探讨企业培训、在线学习的新......
    2021-12-23