新思科技助力加速軟件產(chǎn)業(yè)鏈現(xiàn)代化發(fā)展 夯實安全基礎，提升“軟實力”

飛象網(wǎng)訊 人工智能、云計算、大數(shù)據(jù)等技術(shù)的核心都是軟件，可以說軟件是新一代信息技術(shù)的底座。在中國《“十四五”軟件和信息技術(shù)服務業(yè)發(fā)展規(guī)劃》中重點突出了開源相關內(nèi)容。開源能加速軟件迭代升級，推動產(chǎn)業(yè)生態(tài)完善。因此，做好開源治理，才能有效提升“軟實力”。

隨著中國數(shù)字化轉(zhuǎn)型進程穩(wěn)步推進，軟件已經(jīng)成為業(yè)務運營的必備要素之一，并滲透到幾乎所有的重要行業(yè)和領域。同時，軟件設計開發(fā)愈加復雜，軟件供應鏈安全防護難度持續(xù)加大。新思科技(Synopsys)指出，軟件供應鏈安全直接關系到關鍵基礎設施安全，影響著企業(yè)發(fā)展和普通民眾的生活。促進軟件供應鏈安全成為社會的關注焦點。提起軟件供應鏈，不得不提開源組件，因為開源組件在現(xiàn)代軟件開發(fā)中可以說是無處不在。

新思科技開源治理專家王永雷表示：“《開源安全和風險分析》報告（OSSRA）顯示，被審計的代碼庫中開源代碼比例從2016年的36%增加到2021年的78%�？梢�，軟件繼續(xù)引領世界，開源引領軟件。近年來，開源安全問題頻發(fā)，比如黑客利用Docker鏡像的攻擊、開發(fā)人員蓄意破壞開源庫等， Apache Log4j程序中發(fā)現(xiàn)的零日漏洞更是業(yè)界的‘核爆級’事件。提升開源軟件治理水平，才可以幫助企業(yè)保障軟件供應鏈安全�！�  

王永雷指出開源軟件治理水平主要分成四個階段。

自發(fā)式開源治理，有意識地去修復開源漏洞

新思科技在《保護供應鏈安全的六個考慮因素》白皮書中強調(diào)“您有責任跟蹤供應鏈中的開源組件、許可證和漏洞及其相關風險”。

很多企業(yè)都是在使用開源組件的過程中發(fā)現(xiàn)存在安全漏洞，才去進行治理工作。甚至有時候企業(yè)的客戶已經(jīng)受到了開源漏洞的影響，才進行補救工作。這樣的開源治理處于起步的階段。

對于軟件供應鏈而言，整個過程中所涉及的每個組件、人員、活動、材料或程序都會對最終產(chǎn)品及其用戶產(chǎn)生影響。企業(yè)應該在開發(fā)、測試、生產(chǎn)等各個環(huán)節(jié)進行開源治理。而開源治理的范圍和維度等可以根據(jù)開源組件使用的廣度和深度而調(diào)整，應該是一個動態(tài)、系統(tǒng)化的管理。

積極引入工具和流程規(guī)范，進行綜合治理

開發(fā)人員可能會無意地將包含有風險的開源組件引入其項目之中。但這通常不會引起注意。隨著開源使用越來越多，治理也越來越復雜。因此，企業(yè)需要引入自動化工具和流程規(guī)范，以進行綜合治理，提升開源治理的效率。

但是，往往這種治理只停留在開發(fā)團隊，并沒有推廣到整個公司。開源風險不止是安全漏洞，還包括監(jiān)管合規(guī)風險、版權(quán)侵權(quán)、運營風險等等。妥善管控這些風險需要多部門協(xié)作，進行戰(zhàn)略性管理。

建立可信的開源自動化合規(guī)、安全治理平臺

新思科技Black Duck軟件組成分析在中國已經(jīng)擁有了廣泛的用戶群。根據(jù)多年的經(jīng)驗，新思科技看到中國企業(yè)越來越注重版權(quán)和合規(guī)，而且已經(jīng)從被動式的治理轉(zhuǎn)向主動式的治理。

主動式開源治理最重要的一點是需要企業(yè)高層對此予以重視和支持，并且自上而下地打破壁壘。有的企業(yè)成立了“開源辦公室”，匯集法務、安全和技術(shù)等專家，提供一攬子指導，推動落實最佳實踐，形成良性的互動。通常，企業(yè)會建立一個自動化的開源合規(guī)、安全治理平臺，相關人員可以在這個統(tǒng)一的平臺上進行協(xié)作，比如利用開源工具對正在開發(fā)的軟件進行自動化掃描。

借助評估標準的度量，持續(xù)提升開源軟件治理水平

無論是開源治理還是其它軟件安全計劃，都需要一個標尺來衡量成果。度量的內(nèi)容包括修復開源組件漏洞的時間周期；開源組件的高風險的比例；以及不同版本修復的比例趨勢等。這可以幫助管理團隊做出更好的判斷和決策，以查漏補缺，持續(xù)提升開源組件的安全性和合規(guī)性。

近年來，開源安全已經(jīng)受到越來越多的重視。相關行業(yè)機構(gòu)也發(fā)布了參考標準和指南，幫助企業(yè)有序、有效地管理開源組件。中國信息通信研究院（以下簡稱“信通院”）牽頭編寫了一系列開源安全相關的報告，包括近期發(fā)布的《開源安全深度觀察報告》和《開源合規(guī)指南（企業(yè)版）》。新思科技是兩份報告的參編單位之一。

《開源安全深度觀察報告》梳理了主流的開源安全風險，從開源社區(qū)和開源用戶兩個角度提供開源安全的防范建議；《開源合規(guī)指南（企業(yè)版）》側(cè)重研究國內(nèi)外開源合規(guī)發(fā)展現(xiàn)狀，通過分享理論知識與優(yōu)秀實踐，旨在幫助企業(yè)提升內(nèi)部開源合規(guī)管控能力。

新思科技中國區(qū)軟件應用安全技術(shù)總監(jiān)楊國梁總結(jié)道：“軟件定義創(chuàng)新活力，安全是根基。中國工業(yè)和信息化部印發(fā)的《“十四五”軟件和信息技術(shù)服務業(yè)發(fā)展規(guī)劃》也明確了提升軟件產(chǎn)業(yè)鏈現(xiàn)代化水平的要求。作為軟件供應鏈的重要一環(huán)，開源安全對產(chǎn)業(yè)鏈升級的影響舉足輕重。當然，提升開源治理水平不會一蹴而就，不能僅僅依靠一項技術(shù)或者某個流程就能快速實現(xiàn)。這是一個系統(tǒng)化工程，需要整體策略，從企業(yè)文化、開源工具、標準等多個方面循序漸進。隨著開源治理水平的提高，企業(yè)可以有效規(guī)避風險，促進供應鏈安全�！�