华夏晚报  >   科技  >  正文

奇安信安全专家:开源软件安全治理需成为软件安全开发首要事项

评论

  “2019年,开源软件被发现的漏洞数量已经超过6000个,比2018年增长了近一半,开源软件的安全挑战非常严峻。”在第三届世界声博会暨科大讯飞全球1024开发者节上,奇安信集团代码安全事业部副总经理韩建表示,下一代软件供应链攻击开始向开源软件“上游”蔓延,开源软件安全治理应该被当做软件安全开发的首要事项。

1603449358161572.jpg

  10月23日,由国家工业信息安全发展研究中心、开放原子开源基金会联合主办的第三届世界声博会暨科大讯飞全球1024开发者节——软件铸魂·全国行(合肥站)暨开源软件论坛在安徽合肥召开,奇安信集团代码安全事业部副总经理韩建应邀出席,发表了《开源软件安全实践与思考》的演讲,引起了与会嘉宾、专家的广泛共鸣。

  韩建引用了一组数据,据Gartner统计,99%的组织在其 IT 系统中使用了开源软件,可以说,现代软件大多数是被“组装”出来的,不是被“开发”出来的。现在的软件开发越来越像工业生产和制造,开源软件就是原材料,再加上自己写的业务代码,最后“组装”出一个软件系统。开源软件已经成为IT系统建设的基础设施,开源软件安全已经成为焦点问题。为此,韩建从奇安信开源项目检测计划、奇安信固件安全检测计划两个方面分享了开源软件安全实践的相关内容。

1603449367230594.jpg

  其中,奇安信开源项目检测计划是由奇安信代码安全实验室于2015年初发起的公益性计划,主要针对主流开源软件进行源代码安全缺陷分析,截至目前已检测3000多款开源软件。通过对检测数据的分析和统计显示,2018年开源软件的源代码安全缺陷密度是14.22/KLOC,高危安全缺陷密度为0.72/KLOC,也即每1000行开源软件代码中就有14个安全缺陷,每1400行开源软件代码中就有1个高危安全缺陷。

  奇安信固件安全检测计划是由奇安信代码安全实验室2019年初发起的针对联网设备(如无线路由器、智能摄像头等)固件的安全检测计划,其中一项重要内容是检测和分析联网设备固件中引用的开源软件及其存在的安全漏洞。2019年上半年,该计划选取并分析了13个厂商935个设备的最新版固件。结果发现,89.6% 的设备固件基于Linux开源生态构建,可以看出开源软件在此类嵌入式软件开发领域也占据了绝对主导地位。

  “由于开源代码在政企客户外部应用和内部应用中已无处不在,一旦被攻击者利用,那将是一场无法预估损失的浩劫。”针对极为严峻的开源软件安全现状,韩建认为,企业应该加强开源软件安全治理,包括建立开源软件安全引入和退出机制,开源软件的评估应该加入安全因素,在软件开发到运维的过程中使用专业的自动化工具持续检测和发现开源软件资产,持续跟踪开源软件漏洞情报和进行漏洞响应。对于外包开发的软件项目,应该在立项之初就提出针对开源软件的安全要求,在验收时进行检查。而针对开源软件的安全治理,韩建认为应包括引入控制、资产梳理、风险识别、漏洞告警及合理修复五个方面。

  对于未来,韩建提出两方面建议,一是开源软件安全治理工作应尽量左移,从软件开发阶段就建立开源软件使用的统一策略,同时建立安全准入机制,引入开源软件前先评估安全风险,并对其持续检测,持续跟踪漏洞情报和响应;二是将开源软件安全治理当做软件安全开发的首要事项,他认为软件开发中,开源软件的不当使用是最大的安全风险,而开源软件治理对安全的促进作用成效显著,立竿见影。

  “开源软件已经站在舞台中央,这是大势所趋。对于企业而言,使用开源软件可以降低成本,提高效率,有利于专注业务;对管理部门而言,开源软件已经成为构筑网络空间的最基础的‘砖头瓦块’,无处不在,因此开源软件安全问题应该上升到基础设施安全的高度来对待,得到更多更广泛的重视。”韩建谈到。

  据悉,本次论坛作为“软件铸魂·全国行”首站活动,得到软件届的广泛关注。下一步,国家工业信息安全发展研究中心将继续在全国范围举办系列活动,围绕软件产业发展和开源生态培育,与各领域专家和广大软件开发者进行深度交流,共商发展新思路,助力我国软件产业高质量发展。


责编:hxq 


〖免责申明〗本文仅代表作者个人观点,其图片及内容版权仅归原所有者所有。如对该内容主张权益请来函或邮件告之,本网将迅速采取措施,否则与之相关的纠纷本网不承担任何责任。

注:凡注明来源非本站的作品,均转载自其它媒体,并不代表本网赞同其观点和对其真实性负责。

华夏晚报致力于资讯传播,希望建立合作关系。若有任何不当请联系我们,将会在24小时内删除。

联系我们版权申明 |All Right Reserve 版权所有 鄂ICP备18002142号

版权为华夏晚报所有 未经同意不得复制或镜像