新趨勢，開源組件治理的安全問題不可忽視

【摘要】國家關鍵基礎軟件亟待發展，而保障軟件安全則是重中之重。開源網安作為“軟件安全行業的創領者”，對開源組件治理等提供相應的解決方案和技術支持，助力我國軟件產業的穩健發展。

國產軟件行業面臨巨大挑戰

近期，中科院推出了“率先行動”計劃。中科院院長白春禮表示：“當前國家科技的發展正在轉型，經濟高質量發展也需要科技高質量發展。面臨著美國對中國高科技產業的打壓，我們希望在這方面能夠做一些工作。前期我們已經做了一些工作，未來十年我們還會針對一些卡脖子的關鍵問題做一些新的部署。要把美國卡脖子清單變成科研任務清單。瞄準目標，集智攻關，向科技廣度和深度進軍；遵循科學發展規律，培育創新土壤，科技創新必能噴涌而出?！?/p>

開源組件的安全應用對國內各行各業的重大影響

軟件的健康發展依賴于良好的軟件生態系統支持，在當前的移動互聯網、云計算、大數據、人工智能、區塊鏈等眾多領域內，開源技術經歷了快速發展，已逐漸形成技術主流, 并成為軟件生態中重要且不可替代的組成部分，從基礎軟件到應用軟件都充斥著大量的開源組件，開源技術正在滲透軟件領域的方方面面。

開源組件的引入，可以幫助企業加速創新、占領市場。但是，開源組件的普及和使用帶來的風險也不容忽視：如開源組件的運維和管理風險、漏洞和數據安全風險、合規和知識產權風險等，都需要企業深入考慮進行開源組件治理。

企業將開源組件集成到自身產品或解決方案中時，會在法律或業務執行層面面臨不同的風險，如：合規性風險、安全性風險、技術性風險。一旦風險暴露，將造成巨大的損失。例如，當商業軟件里使用GPL2.0，自由軟件基金會有權要求將整個項目代碼宣布開源，企業辛辛苦苦積攢的產品優勢，與競爭對手的差距都將不復存在，商業損失巨大。同時，CVE漏洞庫目前記錄約有14萬條安全漏洞，其中約2/3源自于開源組件，且多數開源許可證也不承諾為它們自己的項目安全性負責，導致企業引入開源組件時會被動引入安全漏洞，造成了安全性風險。此外，當企業引入越多的開源組件，將導致開發運維工作量越大，對技術人員的要求越高，在各階段響應須更及時，才能應對業務承載能力，更多的技術性風險將無法避免。

因此，開源組件治理的安全問題已引起了國內金融、房地產、醫療等行業的高度關注。企業需要對開源組件進行治理，并從規范體系、人才培養、落地實踐等多方面著手。企業就開源組件治理方面進行軟件組件分析時，將會面臨一些典型的場景：企業內部對開源合規性及安全性檢測，滿足政府部門的監管開源占比政策要求，跨國企業合作明確責任安全報告，企業兼并過程有關軟件資產合規審計，知識產權糾紛司法鑒定審計等等。針對上述場景，企業需要借力應對，通過開源治理工具或平臺進行體系化的跟蹤，把相關信息發布出來，將使用情況和管理信息可視化展示，才能夠保障開源組件治理有效的推進。

國內開源組件治理公司已經崛起

一些國內企業已經有成熟的產品能夠保障開源組件治理有效的推進，如開源網安提供的SCA產品：開源組件安全及合規管理平臺（簡稱SourceCheck），可用于第三方組件安全管控，包括企業組件使用管理，組件使用合規性審計，新漏洞感知預警，開源代碼知識產權審計等，支持對源碼及發布包檢測，是OWASP Top 10中“使用含有已知漏洞的組件”安全風險的最佳解決方案。

SourceCheck SCA可提供企業級的軟件資產分布可視化、軟件資產跟蹤定位、根據已知漏洞定位組件、新漏洞發布后的自檢與預警、自研組件識別、威脅分析、跟蹤定位、組件、漏洞數據的態勢感知、許可和知識產權檢測、組件管控等功能。

除上述功能外，SourceCheck SCA平臺還提供了各種開放式API，以滿足企業內部已有工具的集成需求。

SourceCheck SCA平臺具有最專業的合規性檢測和專業的法律支撐團隊以保證檢測的權威性；支持CVE、CNNVD和自研組件庫對接，以保證超高開源組件庫的覆蓋度；支持企業、部門、項目級的資產分布視圖展示，對組件、認證、漏洞清單進行多維度展示，為輔助決策提供精準、合理的修復方案；實時發現最新漏洞，持續更新記錄，以保證最新漏洞風險的快速感知；靈活的組件授權管控機制，提升了使用的便捷性；支持IDE，包含Eclipse、IntelliJ IDEA、VS，支持主流DevOps工具，包含GitLab 、Jenkins、Jira 、SVN 等，支持第三方數據導入，滿足了集成的多樣性。