關(guān)注風(fēng)險與開源治理

時間：2022-04-18 01:21:01 | 來源：行業(yè)動態(tài)

時間：2022-04-18 01:21:01 來源：行業(yè)動態(tài)

隨著互聯(lián)網(wǎng)化和在線化以及云端應(yīng)用的增加，企業(yè)需要將關(guān)注點放在風(fēng)險治理上面，畢竟被攻擊的風(fēng)險和數(shù)據(jù)的泄露將導(dǎo)致公司名譽的損失，比如Equifax信息泄露事件。

雖然開源業(yè)界有著Linus Law這一說法，但是開源項目缺乏維護的現(xiàn)象也十分嚴(yán)重。OSSRA顯示，廢棄開源組件仍在被廣泛使用。高達91%的代碼存在開源依賴項，這些開源組件在過去兩年內(nèi)沒有任何開發(fā)活動沒有進行代碼改進，也沒有任何安全修復(fù)。

同時，85%的代碼庫含有至少四年未曾更新的開源依賴項。與廢棄項目不同，這些過時的開源組件擁有活躍的開發(fā)人員，但是他們發(fā)布的更新及安全補丁卻沒有被下游商業(yè)消費者所采用。除了忽略應(yīng)用補丁會帶來的明顯安全隱患之外，使用過時的開源組件還可能帶來技術(shù)上的麻煩，包括與將來更新相關(guān)的功能問題和兼容性問題。

這種風(fēng)險可以稱之為運維風(fēng)險，這與開源社區(qū)息息相關(guān)，比如社區(qū)的活躍度、貢獻者的代碼修復(fù)情況。此外，隨著社區(qū)的國際化合作增多，需要尊重本地市場的合規(guī)要求，比如是否涉及加密算法等。

王永雷表示，開源的安全問題有時候隱藏在代碼邏輯里面，并不容易找到。而且找到之后，沒有機制進行及時的通知和修復(fù)或者沒有人維護，這也會帶來很大的問題。所以企業(yè)需要良好的開源治理。

為此，我們需要構(gòu)建完整的BOM物料清單，了解企業(yè)組織里使用了哪些開源組件。新思科技提供了覆蓋全場景掃描需求的多因子探測技術(shù)，幫助企業(yè)自動化識別開源組件和代碼的使用情況。

王永雷說，將開源組件自動化識別出來是企業(yè)開源軟件治理的基礎(chǔ)，在此之上Black Duck提供了從識別到保護、合規(guī)、治理的端到端解決方案。該方案具有輕量級的特點，能夠融入到整個軟件開發(fā)過程，實現(xiàn)開源治理、安全、合規(guī)、運營一體化。

當(dāng)前軟件開發(fā)流行DevOps、CI/CD集成，其實從集成的角度看，新思科技把軟件開發(fā)和部署分為五個階段設(shè)計、提交代碼、構(gòu)建、測試、生產(chǎn)。在整個軟件開發(fā)生命周期中，我們可以采用兩個治理思路，一個是主動治理，一個是被動治理。

主動治理就是左移，在設(shè)計階段就要考察社區(qū)情況、項目的選型等。而在代碼提交階段，需要快速反饋和快速修正，識別開源依賴項，進行QA（質(zhì)量保證），形成一個完整、合規(guī)、安全的軟件，發(fā)布到生產(chǎn)環(huán)境。

軟件發(fā)后需要進行持續(xù)跟蹤監(jiān)控，畢竟軟件的漏洞是動態(tài)變化的。針對漏洞，我們需要準(zhǔn)備相應(yīng)的解決方案，對于開源的全生命周期管理，需要與開發(fā)運營進行集成，更好地構(gòu)建安全優(yōu)質(zhì)的軟件。

構(gòu)建安全優(yōu)質(zhì)的軟件需要人、流程和技術(shù)的緊密協(xié)同。在人的方面，培養(yǎng)開源方案專家、舉辦開源治理活動和培訓(xùn)、領(lǐng)導(dǎo)重視；在流程方面，制定適合組織的治理流程和框架，持續(xù)改進流程；在技術(shù)方面，自下而上選型適合組織的技術(shù)，定制適合組織現(xiàn)狀的解決方案。

王永雷表示，為了確保開源合規(guī)安全管理，企業(yè)首先要選擇一個合適的工具，該工具要具有很強的探測能力、自動化、容易集成、可持續(xù)，然后在組織層面協(xié)調(diào)開發(fā)、安全、合規(guī)、法務(wù)、專利等部門，制定規(guī)范流程。新思科技除了提供專業(yè)的工具之外，還有行業(yè)的最佳實踐以及本地化的服務(wù)支持，幫助客戶落地可實踐的方案。

另外，新思科技具有強大的研發(fā)能力，在知識庫（Knowledge Base）方面，新思科技網(wǎng)絡(luò)安全研究中心（CyRC）持續(xù)監(jiān)控組件是否有新的漏洞，漏洞的發(fā)布頻率以小時來計，保證披露的及時性，并提供對應(yīng)的解決方案。