新趋势,开源组件的安全治理不可忽视
作者:星期一, 九月 28, 20200

国家关键基础软件亟待发展,而保障软件安全则是重中之重。开源网安对开源组件治理等提供相应的解决方案和技术支持,助力我国软件产业的稳健发展。

国产软件行业面临巨大挑战

近期,中科院推出了“率先行动”计划。中科院院长白春礼表示:“当前国家科技的发展正在转型,经济高质量发展也需要科技高质量发展。面临着美国对中国高科技产业的打压,我们希望在这方面能够做一些工作。前期我们已经做了一些工作,未来十年我们还会针对一些卡脖子的关键问题做一些新的部署。要把美国卡脖子清单变成科研任务清单。瞄准目标,集智攻关,向科技广度和深度进军;遵循科学发展规律,培育创新土壤,科技创新必能喷涌而出。”

开源组件的安全应用对国内各行各业的重大影响

软件的健康发展依赖于良好的软件生态系统支持,在当前的移动互联网、云计算、大数据、人工智能、区块链等众多领域内,开源技术经历了快速发展,已逐渐形成技术主流, 并成为软件生态中重要且不可替代的组成部分,从基础软件到应用软件都充斥着大量的开源组件,开源技术正在渗透软件领域的方方面面。

开源组件的引入,可以帮助企业加速创新、占领市场。但是,开源组件的普及和使用带来的风险也不容忽视:如开源组件的运维和管理风险、漏洞和数据安全风险、合规和知识产权风险等,都需要企业深入考虑进行开源治理。

企业将开源组件集成到自身产品或解决方案中时,会在法律或业务执行层面面临不同的风险,如:合规性风险、安全性风险、技术性风险。一旦风险暴露,将造成巨大的损失。例如,当商业软件里使用GPL2.0,自由软件基金会有权要求将整个项目代码宣布开源,企业辛辛苦苦积攒的产品优势,与竞争对手的差距都将不复存在,商业损失巨大。同时,CVE漏洞库目前记录约有14万条安全漏洞,其中约2/3源自于开源组件,且多数开源许可证也不承诺为它们自己的项目安全性负责,导致企业引入开源组件时会被动引入安全漏洞,造成了安全性风险。此外,当企业引入越多的开源组件,将导致开发运维工作量越大,对技术人员的要求越高,在各阶段响应须更及时,才能应对业务承载能力,更多的技术性风险将无法避免。

因此,开源组件的安全问题已引起了国内金融、房地产、医疗等行业的高度关注。企业需要对开源组件进行治理,并从规范体系、人才培养、落地实践等多方面着手。企业就开源治理方面进行软件组件分析时,将会面临一些典型的场景:企业内部对开源合规性及安全性检测,满足政府部门的监管开源占比政策要求,跨国企业合作明确责任安全报告,企业兼并过程有关软件资产合规审计,知识产权纠纷司法鉴定审计等等。针对上述场景,企业需要借力应对,通过开源治理工具或平台进行体系化的跟踪,把相关信息发布出来,将使用情况和管理信息可视化展示,才能够保障开源治理有效的推进。

国内开源组件治理公司已经崛起

一些国内企业已经有成熟的产品能够保障开源治理有效的推进,如开源网安提供的SCA产品:开源组件安全及合规管理平台(简称SourceCheck),可用于第三方组件安全管控,包括企业组件使用管理,组件使用合规性审计,新漏洞感知预警,开源代码知识产权审计等,支持对源码及发布包检测,是OWASP Top 10中“使用含有已知漏洞的组件”安全风险的最佳解决方案。

SourceCheck可提供企业级的软件资产分布可视化、软件资产跟踪定位、根据已知漏洞定位组件、新漏洞发布后的自检与预警、自研组件识别、威胁分析、跟踪定位、组件、漏洞数据的态势感知、许可和知识产权检测、组件管控等功能。

除上述功能外,SourceCheck平台还提供了各种开放式API,以满足企业内部已有工具的集成需求。

SourceCheck平台具有最专业的合规性检测和专业的法律支撑团队以保证检测的权威性;支持CVE、CNNVD和自研组件库对接,以保证超高开源组件库的覆盖度;支持企业、部门、项目级的资产分布视图展示,对组件、认证、漏洞清单进行多维度展示,为辅助决策提供精准、合理的修复方案;实时发现最新漏洞,持续更新记录,以保证最新漏洞风险的快速感知;灵活的组件授权管控机制,提升了使用的便捷性;支持IDE,包含Eclipse、IntelliJ IDEA、VS,支持主流DevOps工具,包含GitLab 、Jenkins、Jira 、SVN 等,支持第三方数据导入,满足了集成的多样性。

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章