新思科技助力Linux基金會(huì)識(shí)別全球使用最廣泛的開(kāi)源應(yīng)用庫(kù) 最新開(kāi)源普查報(bào)告發(fā)布

新思科技《2021年開(kāi)源安全和風(fēng)險(xiǎn)分析》報(bào)告（OSSRA）表明商業(yè)軟件中易受攻擊、過(guò)期及廢棄的開(kāi)源組件數(shù)量呈上升趨勢(shì)。其中，97％經(jīng)過(guò)審計(jì)的金融服務(wù)/金融科技行業(yè)代碼庫(kù)包含開(kāi)源，而且超過(guò)60％的代碼庫(kù)存在漏洞?？梢?jiàn)，開(kāi)源的應(yīng)用十分廣泛。保護(hù)供應(yīng)鏈安全，才能構(gòu)建可信軟件。

近日，非營(yíng)利性組織Linux基金會(huì)和哈佛創(chuàng)新科學(xué)實(shí)驗(yàn)室發(fā)布了“自由和開(kāi)放源碼軟件普查II - 應(yīng)用庫(kù)”。這次普查列出了1,000多個(gè)最為廣泛使用的開(kāi)源應(yīng)用庫(kù)。新思科技網(wǎng)絡(luò)安全研究中心(CyRC)將自身基于數(shù)千家公司代碼庫(kù)的掃描結(jié)果數(shù)據(jù)匿名化后，貢獻(xiàn)給了此次普查報(bào)告，有助于更全面地了解 FOSS（自由/開(kāi)源軟件，free and open source software）的使用情況。

Linux基金會(huì)普查 II (Linux Foundation Census II)檢查了最受歡迎的開(kāi)源應(yīng)用庫(kù)，并且羅列了影響這些應(yīng)用庫(kù)安全問(wèn)題的因素。

報(bào)告作者指出：“完全理解 FOSS 的健壯性、經(jīng)濟(jì)價(jià)值和安全性是一件很難的事情，因?yàn)樗且匀ブ行幕头植际降姆绞疆a(chǎn)生的?！庇捎谲浖M件打包方式以及版本分類和識(shí)別方式多種多樣，因此該報(bào)告將它們歸納匯總成8 種Top 500排名。

新思科技軟件質(zhì)量與安全部門安全解決方案經(jīng)理Mike McGuire將軟件包和版本比作汽車的型號(hào)、生產(chǎn)年份和配置。他說(shuō)：“如果我只說(shuō)我開(kāi)一輛豐田凱美瑞汽車，但你仍可能不會(huì)知道我開(kāi)的是哪一款車。1999年版本，還是2022年版本？在訂購(gòu)零部件、獲得服務(wù)、跟蹤召回等時(shí)候了解這些信息非常重要?！?/p>

Linux基金會(huì)普查 II的目的
報(bào)告作者表示：“這是為了維持 FOSS 長(zhǎng)期安全和健康的活動(dòng)提供信息?！痹搱?bào)告可以幫助我們預(yù)估哪些FOSS軟件包被廣泛地使用在不同的應(yīng)用中。它不是評(píng)估衡量該軟件的風(fēng)險(xiǎn)狀況。許多指標(biāo)可以用來(lái)風(fēng)險(xiǎn)提示，但各家企業(yè)可能對(duì)因素的權(quán)重不同。

Mike McGuire對(duì)此表示贊同。廣泛使用并不代表更關(guān)鍵。他解釋道：“大量的應(yīng)用程序可能正在使用某一特定的 Java GUI 框架，所以這個(gè)框架非常流行。但它可能不是軟件的關(guān)鍵部分。每個(gè)企業(yè)應(yīng)用程序構(gòu)建的方式不同，其關(guān)鍵組成也大相徑庭?！?/p>

盡管如此，一旦確定了使用最廣泛的軟件，我們就更容易評(píng)估風(fēng)險(xiǎn)狀況。

開(kāi)源管理的挑戰(zhàn)
現(xiàn)在，改善軟件識(shí)別、分類和維護(hù)面臨著一些挑戰(zhàn)。隨著行業(yè)朝著廣泛標(biāo)準(zhǔn)化和采用軟件物料清單(SBOM)的方向發(fā)展，了解這些挑戰(zhàn)都非常重要，包括：

• 對(duì)軟件組件的標(biāo)準(zhǔn)化命名模式的需求，這樣應(yīng)用程序庫(kù)就可以被唯一地標(biāo)識(shí)。如果沒(méi)有標(biāo)準(zhǔn)化命名模式，企業(yè)將無(wú)法在大規(guī)模，特別是在全球范圍內(nèi)，相互交流，以共享此類信息

• 與軟件包版本控制相關(guān)的復(fù)雜性。公司維護(hù)了一個(gè)包的內(nèi)部版本，但沒(méi)有將他們的更改反饋回官方庫(kù)。這是一個(gè)意想不到的問(wèn)題。在一個(gè)例子中，研究人員多次觀察到一個(gè)包的 2.87 版本，但官方庫(kù)只升級(jí)到了 2.26 版本。如果 SBOM 無(wú)法區(qū)分主版本和變更版本，此類軟件的購(gòu)買者將很難知道自己是否容易受到新發(fā)現(xiàn)的漏洞的影響

新思科技中國(guó)區(qū)軟件應(yīng)用安全技術(shù)總監(jiān)楊國(guó)梁表示：“開(kāi)源軟件易獲取、開(kāi)放、共享，為業(yè)界帶來(lái)豐富的紅利。但同時(shí)，對(duì)開(kāi)源組件漏洞的利用，甚至偽裝成開(kāi)源貢獻(xiàn)者預(yù)埋漏洞，這些都屢見(jiàn)不鮮。近期，Log4Shell和Spring4Shell漏洞在業(yè)界沸沸揚(yáng)揚(yáng)，這也體現(xiàn)了掌握已使用開(kāi)源組件信息的必要性。在漏洞披露時(shí)，相關(guān)方可以采取更及時(shí)的行動(dòng)。因此，軟件組成分析 (SCA) 解決方案的重要性日益凸顯。SCA可以為應(yīng)用生成SBOM，如果組件中出現(xiàn)新漏洞，會(huì)及時(shí)主動(dòng)通知用戶?！?/p>

大多數(shù)企業(yè)級(jí)應(yīng)用，包括我們常用的購(gòu)物網(wǎng)站、社交媒體等，服務(wù)海量用戶，需要持續(xù)地穩(wěn)定運(yùn)行。為此，開(kāi)發(fā)人員經(jīng)常使用日志，以監(jiān)控應(yīng)用的狀態(tài)和安全。Log4j2是提供日志功能的開(kāi)源組件；Spring Core Framework用于Java應(yīng)用，在基于J2EE的應(yīng)用中被廣泛地使用。由此可見(jiàn)，Log4Shell和Spring4Shell漏洞的影響范圍之大。

影響FOSS長(zhǎng)期安全的問(wèn)題
這些問(wèn)題包括：

• 大多數(shù)最廣泛使用的FOSS都是由少數(shù)貢獻(xiàn)者開(kāi)發(fā)的。一個(gè)數(shù)據(jù)集的結(jié)果顯示，排名前 50 的包中，超過(guò) 80%的代碼行由 136 名開(kāi)發(fā)人員負(fù)責(zé)。新思科技《2021年開(kāi)源安全和風(fēng)險(xiǎn)分析》報(bào)告（OSSRA）曾指出開(kāi)源項(xiàng)目的維護(hù)人員并沒(méi)有隨開(kāi)源項(xiàng)目的普及而保持同步增長(zhǎng)，從而經(jīng)常導(dǎo)致開(kāi)發(fā)人員精疲力竭，許多開(kāi)源項(xiàng)目只能被放棄。如果項(xiàng)目被放棄，漏洞就不會(huì)得到及時(shí)修復(fù)。

• 個(gè)人開(kāi)發(fā)者帳戶安全的重要性正在增加。個(gè)人賬戶通常不像企業(yè)賬戶那樣受到很好的保護(hù)。在這些個(gè)人開(kāi)發(fā)人員帳戶的控制下的代碼進(jìn)行更改要容易得多，而且不被發(fā)現(xiàn)。此外，如果個(gè)別開(kāi)發(fā)人員長(zhǎng)時(shí)間中斷，或出現(xiàn)意外，從而導(dǎo)致無(wú)法更新代碼，則可能會(huì)出現(xiàn)問(wèn)題。這不是唯一的風(fēng)險(xiǎn)。例如，如果獨(dú)立的開(kāi)發(fā)人員移動(dòng)或刪除了他們的項(xiàng)目，這可能會(huì)破壞數(shù)以百萬(wàn)計(jì)的依賴它的程序包

• 開(kāi)源領(lǐng)域歷史遺留軟件的持久性。我們都聽(tīng)說(shuō)過(guò)公司宣布停止對(duì)舊版本操作系統(tǒng)或應(yīng)用程序的支持。但這并不意味著每位用戶都停止使用這些舊版本。許多企業(yè)發(fā)現(xiàn)很難決定切換到不同的軟件包，因?yàn)樵跓o(wú)法保證額外收益的情況下切換到新軟件會(huì)產(chǎn)生財(cái)務(wù)和時(shí)間等成本。2021年 OSSRA報(bào)告還發(fā)現(xiàn)85% 的代碼庫(kù)含有至少四年未曾更新的開(kāi)源依賴，即使有更新版本可用，有時(shí)還有很多更新的版本。這會(huì)帶來(lái)很多隱患。新版本會(huì)修復(fù)舊版本種的錯(cuò)誤。黑客往往會(huì)尋找使用舊版本的應(yīng)用進(jìn)行攻擊。

Mike McGuire表示：“Linux基金會(huì)普查 II展示了最常用的FOSS以及一些深刻的洞察。雖然它不是指導(dǎo)，但是指出組織和個(gè)人都需要積極參與FOSS的開(kāi)發(fā)，而不是留給一小部分開(kāi)發(fā)人員像現(xiàn)在這樣領(lǐng)導(dǎo)開(kāi)源項(xiàng)目。該報(bào)告還顯示了SCA工具在檢測(cè)開(kāi)源歷史遺留軟件方面的重要性，以及 SBOM 領(lǐng)域?qū)?biāo)準(zhǔn)化的持續(xù)需求?！?/p>

新思科技開(kāi)源專家王永雷補(bǔ)充道：“BOM的概念來(lái)自制造業(yè)，傳統(tǒng)BOM是詳細(xì)列出產(chǎn)品組成的物資明細(xì)。當(dāng)發(fā)現(xiàn)缺陷零件時(shí)，制造商可以準(zhǔn)確地知道哪個(gè)產(chǎn)品受到了影響，以便安排修理或更換?，F(xiàn)在，隨著開(kāi)源組件的大規(guī)模使用，SBOM需求已經(jīng)開(kāi)始呈現(xiàn)出增長(zhǎng)態(tài)勢(shì)。新思科技的開(kāi)源管理工具Black Duck可以創(chuàng)建和管理企業(yè)級(jí)的上下游軟件供應(yīng)鏈完整的SBOM，幫助管理在應(yīng)用和容器中使用開(kāi)源和第三方代碼所帶來(lái)的安全、質(zhì)量和許可證合規(guī)性風(fēng)險(xiǎn)?！?/p>