由中國信通院、中國通信標(biāo)準(zhǔn)化協(xié)會(huì)主辦，云計(jì)算標(biāo)準(zhǔn)和開源推進(jìn)委員會(huì)承辦的“2022 OSCAR開源產(chǎn)業(yè)大會(huì)”在北京舉行，大會(huì)上發(fā)布了《全球開源生態(tài)研究報(bào)告（2022年）》（以下簡(jiǎn)稱“報(bào)告”）。

　　報(bào)告首次梳理了全球開源生態(tài)發(fā)展對(duì)數(shù)字經(jīng)濟(jì)的積極影響，并總結(jié)了開源對(duì)各技術(shù)領(lǐng)域的重要驅(qū)動(dòng)。同時(shí)，從全球開源生態(tài)趨勢(shì)演進(jìn)、開源項(xiàng)目穩(wěn)步增長(zhǎng)、開源社區(qū)多態(tài)均衡發(fā)展、開源應(yīng)用持續(xù)提升、開源投融資異常火熱、開源風(fēng)險(xiǎn)影響凸顯等多方面進(jìn)行全面洞察，并結(jié)合現(xiàn)有形勢(shì)展望了我國開源生態(tài)的發(fā)展機(jī)遇，為開源行業(yè)從業(yè)者提供重要參考。

　　開源作為數(shù)字經(jīng)濟(jì)時(shí)代一種新思維、新模式，對(duì)促進(jìn)數(shù)字技術(shù)創(chuàng)新、優(yōu)化軟件生產(chǎn)模式、賦能傳統(tǒng)行業(yè)轉(zhuǎn)型升級(jí)、推動(dòng)企業(yè)降本增效具有重要作用，為全球數(shù)字經(jīng)濟(jì)高速發(fā)展注入無限活力。與此同時(shí)，開源生態(tài)繁榮發(fā)展背后，風(fēng)險(xiǎn)隱患備受關(guān)注。

　　開源代碼安全問題凸顯，影響較為嚴(yán)重

　　2015年-2020年開源安全漏洞數(shù)量及變化趨勢(shì)

　　代碼庫中的安全漏洞風(fēng)險(xiǎn)較為嚴(yán)重。根據(jù)Snyk和Linux基金會(huì)2022年發(fā)布的開源安全調(diào)查報(bào)告，一個(gè)應(yīng)用程序開發(fā)項(xiàng)目平均有49個(gè)漏洞和80個(gè)直接依賴項(xiàng)，此外，修復(fù)開源項(xiàng)目漏洞所需的時(shí)間也在穩(wěn)步增加。

　　全球重點(diǎn)行業(yè)開源代碼庫安全風(fēng)險(xiǎn)熱力圖

　　物聯(lián)網(wǎng)、航天、互聯(lián)網(wǎng)行業(yè)的安全風(fēng)險(xiǎn)極為突出。根據(jù)新思科技《2022開源安全與風(fēng)險(xiǎn)分析報(bào)告》顯示，2021年的統(tǒng)計(jì)數(shù)據(jù)中包含開源漏洞的代碼庫最高的五個(gè)的行業(yè)有物聯(lián)網(wǎng)、航空航天、汽車、運(yùn)輸和物流、互聯(lián)網(wǎng)和移動(dòng)APP。最低的三個(gè)行業(yè)為網(wǎng)絡(luò)安全、電信和無線、互聯(lián)網(wǎng)和軟件基礎(chǔ)架構(gòu)。

　　組件漏洞開源依賴傳播范圍

　　開源漏洞傳播性風(fēng)險(xiǎn)非常嚴(yán)重。根據(jù)國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心發(fā)布的《2021年開源軟件供應(yīng)鏈安全風(fēng)險(xiǎn)研究報(bào)告》顯示，原始樣本中有6416個(gè)開源組件，受組件依賴關(guān)系的影響，開源漏洞一級(jí)傳播一共波及801164個(gè)直接依賴組件，其影響范圍擴(kuò)大125倍。二級(jí)傳播一共波及1109519個(gè)間接依賴組件，影響范圍擴(kuò)大174倍。開源模式下開源軟件傳播快、應(yīng)用廣，客觀上加劇了安全漏洞傳播的速度和范圍，造成傳染性傳播的局面。

　　開源許可證無處不在

　　合規(guī)風(fēng)險(xiǎn)得到逐漸重視

　　隨著各行各業(yè)越來越多地使用開源代碼，圍繞開源合規(guī)的討論成為焦點(diǎn)。軟件自由保護(hù)協(xié)會(huì)訴訟Vizio違反GPL、甲骨文訴谷歌版權(quán)侵權(quán)案塵埃落定等事件表明，軟件行業(yè)對(duì)于開源法務(wù)和合規(guī)的意識(shí)正在增強(qiáng)，開源許可證風(fēng)險(xiǎn)值得關(guān)注。

　　包含無許可證或自定義許可證的開源代碼庫占比

　　根據(jù)新思科技發(fā)布的《2022開源安全與風(fēng)險(xiǎn)分析報(bào)告》指出，2021年審計(jì)的代碼庫中有53%包含有許可證沖突的開源代碼，有17%存在許可證兼容性問題。無許可證或自定義許可證問題得到改善。

　　供應(yīng)鏈風(fēng)險(xiǎn)較為隱蔽

　　發(fā)展形勢(shì)極其嚴(yán)峻

　　開源軟件供應(yīng)鏈關(guān)系網(wǎng)絡(luò)復(fù)雜，蘊(yùn)含嚴(yán)重風(fēng)險(xiǎn)問題。目前，“供應(yīng)鏈”通常牽涉數(shù)十個(gè)（甚至數(shù)千個(gè)）個(gè)體開發(fā)人員、組織機(jī)構(gòu)、軟件片段以及將它們交織在一起的工具、策略和程序。雖然這種趨勢(shì)降低了編程人員的準(zhǔn)入門檻、縮短了產(chǎn)品的上市時(shí)間，但同樣也留下了嚴(yán)重的風(fēng)險(xiǎn)隱患，主要包括關(guān)鍵開源組件的可持續(xù)維護(hù)挑戰(zhàn)。

　　基于此，安全419啟動(dòng)了軟件供應(yīng)鏈安全解決方案系列調(diào)研，邀請(qǐng)細(xì)分領(lǐng)域內(nèi)代表廠商分享自身前沿觀點(diǎn)、創(chuàng)新技術(shù)和最佳實(shí)踐，希望為企業(yè)組織更好應(yīng)對(duì)軟件供應(yīng)鏈面臨的風(fēng)險(xiǎn)與挑戰(zhàn)提供參考借鑒。

　　開源風(fēng)險(xiǎn)管控機(jī)制不完善，未來開源風(fēng)險(xiǎn)將進(jìn)入集中暴露期。根據(jù)Snyk和Linux Foundation調(diào)查結(jié)果，只有49%的組織制定了開源軟件開發(fā)或使用的風(fēng)險(xiǎn)管控策略，企業(yè)更偏向于對(duì)功能需求的驗(yàn)證，忽視了源代碼和使用的基礎(chǔ)開源組件的安全性。

　　企業(yè)未建立完整的開源軟件使用管理機(jī)制，導(dǎo)致開發(fā)人員對(duì)開源軟件基本處于“只用不說”的狀態(tài)，企業(yè)更無法了解正在使用的軟件系統(tǒng)是否包含了開源軟件。一旦軟件產(chǎn)品交付，開源軟件的風(fēng)險(xiǎn)問題也將為整個(gè)信息系統(tǒng)的安全運(yùn)營(yíng)帶來極大的安全挑戰(zhàn)。

　　如果產(chǎn)業(yè)不能建立完善的開源安全審查評(píng)估和風(fēng)險(xiǎn)治理機(jī)制，開源風(fēng)險(xiǎn)事件數(shù)量將不斷攀升、發(fā)生頻率將不斷提高、后果將越發(fā)嚴(yán)重。用戶針對(duì)軟件供應(yīng)鏈安全所面臨的問題也亟待解答，安全419近日啟動(dòng)了《軟件供應(yīng)鏈安全解決方案》系列訪談選題，邀請(qǐng)領(lǐng)域內(nèi)代表廠商分享自身創(chuàng)新技術(shù)和最佳實(shí)踐，希望為企業(yè)應(yīng)對(duì)開源軟件風(fēng)險(xiǎn)提供參考借鑒。在此，也歡迎更多具備相關(guān)能力的優(yōu)秀廠商參與該選題，一同守護(hù)開源生態(tài)安全。

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<