如果要问近年来软件行业的热点是什么，那么日益风靡的开源代码无疑会榜上有名。新思科技网络安全研究中心 (CyRC) 编制的《2022年开源安全和风险分析》报告（简称OSSRA）表明，开源组件在每个行业都被广泛使用，并且是当今所有应用程序的构建基础。

但相应的，开源软件在带来优势和益处的同时，也必然会带来不可测的安全风险，包括安全漏洞、过期或废弃的组件以及许可证合规性问题。对此，新思科技开源治理专家王永雷在接受我们的采访时，详细剖析了开源供应链的风险问题，并给出了新思科技的应对之策。

开源吞噬软件

说开源代码已经成为热点，那么它究竟热到什么程度？对此，王永雷表示，2021年开源代码的比例已经高达78%，计算机硬件和半导体、网络、能源与清洁科技、物联网这四大行业均100%地使用到了开源软件，开源在促进全球的软件创新方面发挥着越来越重要的作用。

所以，不夸张地说，“软件继续吞噬世界，而开源在吞噬软件”，这已经是一个新的趋势。

但一个显而易见的问题是，基于开源软件的特点，它越是成为主流，就越可能带来潜在的安全风险。诸如缺少维护的开源组件、高风险开源漏洞以及许可证合规性等。那么，OSSRA报告中有哪些新的调查结果和新的洞察？以及这些结果预示了什么样的趋势？

不容忽视的开源供应链风险

OSSRA报告表明，使用过时的开源组件仍然是常态。以Black Duck审计服务团队今年分析的2097个代码库为例，85%的代码库中包含至少四年未更新的开源代码，88%的代码库中包含过时版本的组件，5%的代码库含有易受攻击的Log4j版本。

王永雷重点提到了Log4j漏洞，他表示：“Log4j在安全圈里堪称核爆级事件。”因为Log4j漏洞可让攻击者在目标计算机上远程执行代码，从而窃取数据、安装恶意软件或者实施控制。“由于Log4j是一个基础性的软件，隐匿性强，所以许多企业意识不到这一点。而我们发现15%的代码实际都会受到Log4j漏洞的影响”。

而企业往往等到过时的组件变成一个易受攻击的高风险漏洞，才慌忙查找这个组件用在哪里，然后去进行更新。这正是Log4j面临的情况，也是软件供应链成为当下行业热点的原因。提到这一点，王永雷表示，实际软件的整个开发流程也存在着供应链风险，需要进行决策和风险控制。

另外，上述经过评估的2097个代码库显示，开源漏洞数量总体减少，许可证冲突总体上也在减少。可30%的被审代码库中都包含无许可证或使用定制许可证的开源代码。这意味着不能合法地使用、复制、分发或修改该软件，否则会带来法律风险或非预期的要求。

新思推动开源供应链合规

面对日益严峻的风险问题，新思科技从技术和行业标准两个层面着力推进。

技术层面，拥有Rapid Scan快速扫描功能的新思SCA工具，可以对应用程序的已编译的二进制文件进行漏洞扫描，从而可减少开源许可证冲突和解决高风险漏洞。专业的检测工具覆盖了软件开发的全过程，为客户提供全方位的端到端解决方案。

行业标准层面，新思科技积极参与了Linux基金会旗下软件包数据交换（SPDX）国际标准的制定。SPDX被公认为软件供应链工件的开放标准，包括全套许可证合规性和安全性。

此外，新思科技还与中国信通院合作，深度参与了信通院《开源安全深度观察报告》和《开源合规指南（企业篇）》白皮书的编写，Black Duck软件组件分析工具（SCA）也再次通过了信通院的可信开源治理工具评估。作为Linux基金会下Openchain项目国内首家第三方测评机构，中国信通院积极服务于开源合规性治理，新思科技与之的合作可谓是天作之合。

2022年06月06日 于上海

版权作品 未经许可 请勿转载