栗蔚：企业开源面临哪些复杂安全风险？

中新经纬7月19日电 题：企业开源面临哪些复杂安全风险？

作者 栗蔚 中国信通院云大所副所长

开源的定义是开放的、无边界的、新型的协作模式，基于这样的模式，数字科技创新、产业开放、经济共享、全球协作四个方面都可以受益。对于企业而言，开源基本上占了企业软件使用的八成以上，像一些云计算数据库，开源已经是这些领域的主流方式，对于行业用户开源代码的使用量，每个用户大概也都是过千行。但是开源也面临着一些复杂的安全风险：

第一，可控性风险。开源会因自然等不可抗力、外交、国际经贸等原因造成使用中断，从而威胁软件产品的可控性。

第二，信息安全风险。开源跟传统的闭源软件不同，它整个的协作是开放的，所以它的漏洞更容易被人所熟知或利用。

第三，知识产权风险。开源利用的是许可证的模式建立起开源协作者之间的关系。基于开源许可证，企业在去贡献原代码的时候必须放弃知识产权。所以软件产品未遵循开源许可证相关条款规定可能会造成版权侵权、专利侵权、商标侵权和许可证冲突等四类合规性风险。

第四，供应链的风险。开源从最初的社区开源项目版本到商业化版本，再到下游，是一层一层去叠加产生的商业化行为。当用户拿到开源的软件时，已经经过层层开发。这在无形中增加了每个环节的人员，包括软件工程等等供应链的一些费用以及出口管制等。

针对这些风险，全球有很多的政策和标准来保障开源安全，例如欧盟有FOSSA项目来进行开源漏洞的挖掘，美国有开放软件代码测试计划，英国有《开放代码安全注意事项指南》。全球组织企业也是非常积极应对开源风险，包括开源安全基金会等等，许多公司也都建立自己的开源办公室，注重开源安全风险。

其实中国也出台了很多开源的政策和标准。例如金融行业在五部委发的《关于金融行业规范和发展开源使用》《“十四五”软件和信息技术服务发展规划》里也提到了在开源安全、开源生态方面的要求，《信息安全技术软件产品开源代码安全评价方法》，则是专门针对开源代码的国标。

通过这些安全标准可以来评价我们软件产品中的开源部分是否具有可控性、安全性、合规性和稳定性。其中可控性指的是软件里面开源代码部分供应链是可控的；安全性指的是开源代码或者成分部分的安全漏洞、版本更新，基本上是安全的；合规性指的是开源代码部分许可证是合规的，没有太多知识产权法律风险；稳定性指的是开源部分可以持续运维管理更新迭代。

这四个目标是做评价的最终原则，根据这四个目标落地了一个指标维度。其中可控性落地的是代码来源可控性指标。具体指从开源代码的开发者、贡献者、使用者和下载者几方面来看开源来源是否可控，以及某个环节出现了问题，开源代码还能否使用，可不可控；安全性落地的是代码安全质量。包括开源代码漏洞率、漏洞严重程度、修复率和版本更新情况；合规性落地的是开源代码知识产权指标。主要指许可证的合规性，这里面包括许可证的遵从度、互惠度、兼容性、专利情况、适用范围；稳定性落地的是开源代码管理指标。包括从管理层面到开源代码物料清单实时梳理，再到开源设计以及开源代码的生成各个方面。(中新经纬APP)

本文由中新经纬研究院选编，因选编产生的作品中新经纬版权所有，未经书面授权，任何单位及个人不得转载、摘编或以其它方式使用。选编内容涉及的观点仅代表原作者，不代表中新经纬观点。

责任编辑：孙庆阳 实习生 饶奎

来源：中新经纬

编辑：万可义

广告等商务合作，请点击这里

未经过正式授权严禁转载本文，侵权必究