用美国的砖头建中国的长城，安全不安全？

--- 开源有风险，我们该如何做

1 开源并非免费的午餐， 开源的安全风险日趋严峻

我们再来看下整个开源软件的风险趋势。

1.1开源软件漏洞频发，网络安全威胁持续加剧

Snyk 2019 年开源安全现状调查报告显示，开源漏洞数量 2 年内增长 88% 。某产品 CVSS>7 分的漏洞， 90% 的漏洞来自开源软件引入。中国信息安全测评中心，《 2022 上半年网络安全漏洞态势观察》指出，在漏洞数量方面，漏洞增长创新高，网络安全威胁持续加剧。漏洞总量环比增长达到 12% ；危害程度较大漏洞仍然是热点，超高危漏洞占比超过 50% ；微软、谷歌等美企大厂产品漏洞多发，持续成为安全研究焦点。在漏洞利用方面，漏洞在野利用形势严峻，漏洞实战化趋势明显。漏洞 POC/Exploit 公开广泛传播，为漏洞实战化提供便利；在野漏洞利用不断增多， APT 组织漏洞利用异常活跃；在野利用漏洞私有化、漏洞工具囤积严重。

1.2 开源软件缺乏明确的安全责任主体，缺少系统的代码安全审查机制

Snyk 2019 年开源安全现状调查报告显示， 81 ％ 用户认为开发者负责开源软件的安全性，只有 30% 的开源软件维护者认为自己具有高安全性意识。该报告显示， 37% 的开源开发者在持续集成（ CI ）期间没有实施任何类型的安全测试， 54 % 的开发者没有对 Docker 镜像进行任何的安全测试。

开源代码中不断发现新的安全漏洞，而很多项目没有查找并修复漏洞的响应机制。开源项目的安全记录方式也没有明确的标准可以遵循， GitHub 上排名前 40 万的公共代码库中，仅 2.4% 的项目有安全文档。

1.3越来越多的黑客组织开始盯上开源软件

软件生产过程中，代码复用程度越来越高，各种开发包、核心库的应用越来越广泛。很多黑客组织也意识到了这一点，逐渐把目光放在了开源软件上，利用开源代码植入后门。这些代码的复用度越高，其中的后门影响范围就越广，从而实现对软件供应链上游的攻击。

2019 年 8 月， Webmin 被爆存在高风险远程命令执行漏洞，根据 Webmin 开发人员的说法，该漏洞不是编码错误的结果，而是 “ 恶意代码注入受损的构建基础架构中 ” 导致的。 Webmin 是一个用于管理 Linux 和 UNIX 系统的基于 Web 的开源软件，互联网上大约有 13 万台机器使用 Webmin 。根据 Shodan 搜索引擎收集到的统计数据显示，有近 10 万台服务器曾运行过存在 “ 后门代码 ” 版本的 Webmin 软件，对整个互联网安全造成了巨大的影响。

2 应对：如何构筑开源软件安全

《 2022 上半年网络安全漏洞态势观察》从漏洞防范及安全保障方法给出了一些建议： 1 、打造国家级网络安全漏洞综合运筹能力，加强漏洞管控统筹协调，提升漏洞资源共享共治水平

2 、建设国家级漏洞感知与预警机制，提升漏洞发现与处置能力

3 、积极推进 ICT 供应链安全治理，完善符合我国情的开源生态

那么作为一个企业应该如何防范呢？通过阅读大量资料，提出如下改进方向：

1 、统一全量管理：建立软件物料清单（ SBOM ），全量软件可视化管理，对开源可连续供应进行风险评估。新思科技发布的《 2022 年开源安全和风险分析》报告指出，许多企业根本不知道其软件中使用了多少开源代码。需要注意的是，产生业务风险的并不是开源软件本身，而是对开源软件的不当管理。结合对 Ceph 所使用的开源软件的分析情况，使用 Ceph 作为底座的存储产品，消除业务风险的第一步应对使用的 Ceph 所有相关软件进行全面清点，形成完整的清单 SBOM ，才能快速制定计划来解决开源软件漏洞带来的安全和风险。

2、安全可靠使用 ：基于 SBOM ，建立漏洞 E2E 管理工具链，快速、精准感知开源软件漏洞，及时消除安全风险。 SBOM 元数据中包含的开源软件名称、软件版本、供应商及软件依赖关系等关键信息，可被用于快速识别产品全量软件清单中老旧版本、生命周期冲突、不合规使用等关键风险，并可基于此开展开源软件的漏洞感知、漏洞排查、漏洞验证、漏洞测试、漏洞追溯等端到端活动进行管理及时消除安全风险；软件用户可以使用 SBOM 来执行漏洞或者许可协议分析，评估业务的风险。

3、拥抱国内生态： 积极投入国内开源社区建设（如开放原子开源基金会等），助力核心软件建设，实现核心软件自主可控。《 “ 十四五 ” 软件和信息技术服务业发展规划》指出，建设 2-3 个有国际影响力的开源社区，培育超过 10 个优质开源项目。繁荣国内开源生态，大力发展国内开源基金会等开源组织，完善开源软件治理规则，普及开源软件文化。开源不可避免，开源是趋势，那我们就坚持拥抱开源，积极通过打造国内生态，构建开源软件生态及演进能力，确保软件可连续、保持领先，实现核心软件自主可控。