近年來，隨著云計算、AI、IOT等技術的不斷發(fā)展，IT等信息技術領域也有了新的突破，可以更好的賦能關鍵信息基礎設施建設。然而，安全作為主旋律，一直是備受關注的焦點。一方面，傳統(tǒng)安全防護措施的缺失，對于新型高級威脅缺少防護壁壘；另一方面，開源趨勢下，事后防御的手段已不滿足安全需求，“安全左移”下提出了更高的安全需求。

尤其是，近日影響力巨大的log4j 2.x的漏洞事件，引起了軒然大波。包括之前的solarwinds事件、Apace Strust2等漏洞事件都為我們敲響了安全警鐘。如何做好此類事件的威脅防護、開源安全的風險治理是需要大家積極探討的新命題。

12月30日，由懸鏡安全、OpenSCA聯(lián)合主辦的全球首款企業(yè)級OpenSCA技術開源發(fā)布會在北京舉行，會議現(xiàn)場，針對“開源軟件”、“供應鏈安全”等熱點帶來不同角度的學術探討與實踐分享，共同探討開源產(chǎn)業(yè)生態(tài)下的安全新態(tài)勢。

用開源的方式做開源風險治理

大會現(xiàn)場，懸鏡安全創(chuàng)始人兼CEO子芽圍繞“開源”、“風險治理”、“OpenSCA”等關鍵詞分享了如何用開源的方式做開源風險治理。

 懸鏡安全創(chuàng)始人兼CEO子芽分享

子芽表示，應用開源是大勢所趨，但是避免不了Web通用漏洞、業(yè)務邏輯漏洞、開源成分的缺陷及后門等漏洞問題，而用開源的方式做開源風險治理，可以讓開源用多樣性擁抱不確定性，形成開源新范式。

此次，懸鏡安全對外發(fā)布OpenSCA開源技術，是為了解決看不清、摸不透、跟不上、防不住的治理難題。OpenSCA作為懸鏡安全旗下商業(yè)級SCA產(chǎn)品源鑒OSS開源威脅管控平臺的開源版本，它繼承了源鑒OSS的多源SCA開源應用安全缺陷檢測核心能力。懸鏡把OpenSCA技術開源，對于守護中國軟件供應鏈安全有著重要的意義。

據(jù)了解，懸鏡安全數(shù)十位來自北大的科研人員、行業(yè)專家智庫，歷時26280個小時潛心打磨，提出了“用開源的方式做開源風險治理”，用簡單的配置即可完成對開源組件所使用的成分進行檢測，深度挖掘組件中潛藏的各類安全漏洞及開源協(xié)議風險，進而助力企業(yè)進行開源風險的識別及治理。

開源軟件下軟件供應鏈安全如何治理

log4j 2漏洞是近期圈內和圈外討論熱度都較高的話題，Apache Log4j是一個基于Java的日志記錄工具，基本70%以上的企業(yè)都有使用的開源代碼。log4j 2漏洞的爆發(fā)給我們帶來的警示是什么？開源的軟件如何保證安全？log4j 2究竟是“黑天鵝”還是“灰犀?！?？

基于以上問題國家信息技術安全研究中心總師組專家楊韜認為：“這是一個大事，但并不是新鮮事。對于應對漏洞，產(chǎn)品和服務的提供者以及網(wǎng)絡運營者，需要在未來很長的一段時間之內做好心理準備和0day漏洞共存?！?/p>

北京賽博英杰科技有限公司創(chuàng)始人兼董事長表示：“企業(yè)要敢于盤家底，要排查有多少系統(tǒng)用了該工具，所有配置設置都要了解清楚?！?/p>

隨著軟件產(chǎn)業(yè)的快速發(fā)展，軟件供應鏈也越發(fā)復雜多元，復雜的軟件供應鏈會引入一系列的安全問題，導致信息系統(tǒng)的整體安全防護難度越來越大。其中，開源軟件的安全問題尤其值得關注。

東方通集團副總裁朱木林認為：“開源社區(qū)難以管理，開源代碼的漏洞很多，因此要積極擁抱開源，如果廠商、監(jiān)管以及國家三方合力形成一種機制，一起營運管理開源軟件的安全生態(tài)?！?/p>

“l(fā)og4j 2漏洞的爆發(fā)，站在戰(zhàn)略投資的角度來說，讓安全領域成為了資本所青睞的對象”，同時國家也會有更多的政策傾斜到這一領域。”百度工程效能部效率云技術總監(jiān)及開源中國聯(lián)席產(chǎn)品主席張偉軍如是說。

懸鏡安全CTO寧戈則認為開源的風險治理是比較嚴重的問題，因為開源組件的維護都是社區(qū)自發(fā)的，安全力量投入不足，另外開源社區(qū)的發(fā)展是無序進化的狀態(tài)，對于安全治理也是比較難的。

“黑天鵝”一般指那些出乎意料發(fā)生的小概率風險事件；“灰犀?！敝改切┙?jīng)常被提示卻沒有得到充分重視的大概率風險事件。相對于開源軟件來說，面對的“黑犀牛”的威脅是更多的，因此安全治理必須要考慮。

據(jù)不完全統(tǒng)計，全球97%的軟件開發(fā)者和99%的企業(yè)使用開源軟件，基礎軟件、工業(yè)軟件、新興平臺軟件大多基于開源，開源軟件已經(jīng)成為軟件產(chǎn)業(yè)創(chuàng)新源泉和“標準件庫”。與此同時，開源許可證的兼容性問題、開源項目的合規(guī)問題、開源安全漏洞問題和開源知識產(chǎn)權的侵權等問題也日趨凸顯。

未來，懸鏡安全將依托軟件供應鏈安全技術，布局開源安全產(chǎn)業(yè)生態(tài)，以前瞻性產(chǎn)業(yè)視角視角構筑行業(yè)安全生產(chǎn)線，不斷拓展人類認知實踐的邊界，在更大的范圍幫助更多的企業(yè)實現(xiàn)開源風險治理，助力開源生態(tài)健康有序發(fā)展。（雷峰網(wǎng)(公眾號：雷峰網(wǎng))）

如何參與OpenSCA開源項目

一、OpenSCA官網(wǎng)：

https://opensca.xmirror.cn/

二、OpenSCA開源項目地址

1. 本地檢測工具

GitHub：

https://github.com/XmirrorSecurity/OpenSCA-cli

Gitee：

https://gitee.com/XmirrorSecurity/OpenSCA-cli

2. IDEA插件

GitHub：

https://github.com/XmirrorSecurity/OpenSCA-intellij-plugin

Gitee：

https://gitee.com/XmirrorSecurity/OpenSCA-intellij-plugin    

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權禁止轉載。詳情見轉載須知。