开源技术极大推动了云计算、大数据、AI 等技术领域的快速发展,在可重用的开源组件基础之上,企业只需自主研发部分代码,便可以快速建立自身应用。虽然效率提升和成本节省非常明显,但日益显露的安全风险和法律问题不容忽视,对于开源软件的治理迫在眉睫。
开源软件面临着三大风险
新思科技(Synopsys)在《2020 年开源安全和风险分析》报告(OSSRA)中指出,开源组件爆发式增长,99%的应用软件中至少包含了一个开源组件,但是,很多企业对于开源的使用缺乏选择的标准、有效追踪和管理,并且对安全漏洞的影响意识不足。以下几组数据值得引起思考:
第一,75%的代码库包含安全漏洞,49%的代码库包含高危安全漏洞。所谓高危有两层含义,一是发生的概率比较大,二是一旦发生后果比较严重。
第二,33%的代码库包含未经许可的 license,67%的代码库包含了 license 冲突。开源在广义上被认为是免费的同时,仍需要合规使用,履行相关的义务及责任。
第三,82%的代码库包含至少已经过时四年的开源组件,88%的代码库在过去两年内没有任何开源组件的更新。这意味着企业使用的是不再活跃的组件,漏洞发生后,很可能没有代码贡献者维护,而是需要企业自己重构这部分代码,这将带来巨大的维护成本和产品风险。
新思科技软件质量与安全部门销售总监兼管理顾问薛植元认为,安全漏洞、许可证违规和运维风险,实际上正是当代企业使用开源软件所面临的三大风险,这也充分证明了对于开源软件进行治理的重要性。
新思科技软件质量与安全部门销售总监兼管理顾问 薛植元
新思助力信通院发布业内首个《开源生态白皮书》
中国信息通信研究院在对开源治理和企业选择开源策略的关注点进行调研时发现,开源治理的最大困难在于开源软件的数目非常庞大,组织和统筹管理非常困难。并且企业在进行开源软件的选择时,安全性又成为首要的考虑因素。
为了规范和提高开源治理工具服务商的能力,同时帮助用户企业采购工具选型做参考,信通院于 2019 年下半年牵头起草了《开源治理工具能力要求 第 1 部分:开源组成和安全性分析》标准,该标准是国内首个针对开源组成和合规安全性分析的开源治理工具标准。而就在日前,信通院发布了业内首个《开源生态白皮书(2020)》。
据了解,新思为该白皮书也做出一定的贡献,主要包括:参与扫描了 20 个国际开源项目,通过多因子探测技术,为报告提供全面和高精度的识别结果;Black Duck 为开源项目提供深度的探测组件能力,使行业和用户意识到开源组件依赖的合规和安全风险远比想象的要高;通过新思的全球视野和企业级实践,助力信通院协助合作单位快速和高效地引领行业标准,使得 OSCAR 成为中国开源行业风向标。
Black Duck 开源组件检出率达 95%
据薛植元介绍,Black Duck 是帮助企业在整个软件开发生命周期(SDLC)中管理开源的解决方案,可以在开发和运营的各个阶段为企业提供帮助。该业务源于新思 2017 年收购的 Black Duck,该公司是开源治理工具方面的先驱,成立于 2002 年,甚至早于国际上最早从事开源治理的谷歌。对 Black Duck 的收购,大大拓展了新思的扫描能力,尤其是在增强型漏洞库、增强型开源合规指南、企业私有库、开源同源等管理的接口以及相关的自动化事件,新思已经连续多年被 Gartner 评为应用安全全球市场的领导者。
也正是基于在开源治理的领先性,新思成为为数不多参与到信通院标准制定首批合作中的外资企业,并且高分通过开源工具的本地化方案评测,在此次评估中,Black Duck 开源组件检出率达到 95%。
Black Duck 有哪些特性?为什么能够达到高检出率?据介绍,它可以提供端到端的开源风险管理方案,主要包括探测、保护、管理、监控四方面能力。
此外还有多因子检测,通过四大识别技术:构建识别、特征码识别、指纹识别、二进制识别,能够应对开源管理不同的使用场景和需求。
国内开源治理进入高速发展期
国际上,开源治理经过十几年的发展已经形成了完备的技术、方法论和实践,国内起步较晚,近两年实现了爆发式增长,信息安全事件、知识产权纠纷以及国家之间的贸易冲突,这三方面因素都使得开源治理越来越受到重视。
企业推行开源治理的成熟度通常可划分为三个等级,一是项目驱动型,与具体的项目相关联;二是增强型,企业内部有专人或是专职部门和流程在管理开源软件;三是先进型,开源管理已经融入到企业的软件开发生命周期中,实现了自动化管理,并且建立了完备的开源管理策略。
那么,国内企业推行开源治理大致经历了哪些阶段,发展现状如何?
薛植元谈到,最初进行开源治理的都是大企业,通常都是在业务受到挑战的情况下开始推行,或是有出口贸易业务需要对源码进行审计。
后来,随着大型互联网企业尝试出海,推动了第二波开源治理的发展。在这波潮流后,近年来,很多汽车、电信、手机等领域的大企业,因为设备越来越复杂,开始尝试用开源治理标准去统一管理供应链;此外,还有一些中小型企业虽然自身没有太多的开源意识和管理能力,但是受惠于最终客户的影响和要求,也开始制定相应的开源管理策略,并开始使用相关工具。
今年开始,在政府的牵头下,很多机构、包括银行等都开始参与到开源治理的工作中。“现在已经做了开源管理的标准成熟度模型,在政府的引导下形成国家标准或行业标准的话,开源管理一定会实现持续性地增长”,薛植元表示。