近年来，伴随着“大智移云链”等新兴技术的蓬勃发展，开源软件的支撑作用越来越明显。一方面开源软件具有免费、繁荣、易获取等优点；另一方面，开源软件又具有开放、自由、共享等特性，使其容易被利用作为攻击点。通过利用开源软件漏洞，甚至伪装成开源贡献者预埋漏洞，都是被验证可行的攻击形式。各行业在享受开源红利的同时，也逐步认识到开源软件的潜在风险。企业和主管机构等都开始重视并推动开源软件安全威胁的治理工作。

本期谷安“能量补给站”大讲堂在8月6日成功举办，我们特别邀请到悬镜安全源鉴产品线技术总负责人张弛，进行了以“开源威胁治理技术的探索与实践”为主题的直播公开课，从现代应用面临的开源风险、开源威胁治理通用技术解析、开源威胁治理的技术难点以及开源威胁治理新方向探索四大维度，进行了深度的解读与探讨。

张弛表示，在当今复杂而多变的商业环境中，企业的业务部门无法接受速度的迟滞，在研发效率和编码速度的考量下，几乎所有的软件应用都基于第三方的组件、开源代码、通用函数库实现。随之而来又经常被忽视的是：绝大多数应用程序都包含开源组件风险。调查数据显示，目前存在开源组件漏洞的软件应用比例超过 90%，因此企业安全管理者需要高度重视企业中存在的开源威胁风险。

但是，企业在应对开源威胁时，通常需要面临以下难点：

• 开源漏洞风险不可知。目前使用的开源软件中存在多少已知安全漏洞和知识产权风险？
• 安全技术能力不全面。针对开源软件安全漏洞，企业缺少评估和修复能力？
• 开源组件使用情况不清晰。企业不清楚系统中使用了多少开源软件，哪些开源组件？
• 快速精准定位漏洞能力弱。企业在开源软件或组件出现漏洞时，无法快速定位到漏洞组件的影响范围，并及时止损，禁止漏洞组件下载。

据张弛介绍，目前开源威胁治理的流程主要包括信息采集、开源软件成分分析、风险审查以及威胁治理等环节。从根源上来讲，开源软件的安全风险主要在于开源代码没有专业的安全开发团队维护，开源代码易存在漏洞。为了让开源安全问题能得到及时补救修复，漏洞管理生态系统近年来也应运而生。漏洞管理的标准化不仅有助于威胁情报共享，而且还有助于有效管理潜在的威胁，帮助组织、供应商积极寻求发现漏洞并及时作出响应，从而降低安全风险。

关于能量补给站

“能量补给站”是谷安学院联合安全牛，面对谷安学院新老学员的专项服务，结合当前网络安全环境下主流需求，与业内众多知名大咖讲师联合打造。“能量补给站”以课程讲解、干货分享、福利发送等形式，解决持证人员职场中真正的痛点问题，丰富专业领域见识，拓展学员在信息安全行业的人脉，提升持证学员的专业能力，帮助大家在工作中获得全方面的“能量补给”！