4月25日，在第四屆數(shù)字中國建設(shè)峰會(huì)軟件開源生態(tài)分論壇上，開源軟件供應(yīng)鏈安全實(shí)驗(yàn)室正式啟動(dòng)成立。該實(shí)驗(yàn)室是由360集團(tuán)聯(lián)合國家工業(yè)信息安全發(fā)展研究中心、中國科學(xué)院軟件研究所、北京航空航天大學(xué)軟件學(xué)院、北京大學(xué)軟件工程國家工程研究中心、開源中國共同發(fā)起，將聚焦開源生態(tài)治理重點(diǎn)需求和開源軟件供應(yīng)鏈薄弱環(huán)節(jié)，加強(qiáng)理論和前沿技術(shù)研究，搭建技術(shù)支撐平臺(tái)、開源軟件檢測認(rèn)證、成熟度評(píng)估等工作。

“開源模式改變了傳統(tǒng)的軟件發(fā)展模式，重塑了軟件產(chǎn)業(yè)格局，是代表未來的協(xié)作創(chuàng)新機(jī)制，因此，我們更需要重視開源安全問題?！?60集團(tuán)副總裁兼首席安全官杜躍進(jìn)博士在峰會(huì)上發(fā)表題為“用開源思路提高軟件安全”的主題演講。據(jù)統(tǒng)計(jì)，過去10年，開源軟件漏洞總數(shù)增長了18倍，而2020年已發(fā)布的開源軟件漏洞數(shù)量再創(chuàng)新高，其總數(shù)為9658個(gè)，相比于2019年，增量超過一半。

過去十年，開源漏洞不僅數(shù)量倍增，其破壞力也可見一斑。2014年，開源密碼庫OpenSSL中的 Heartbleed 安全漏洞被發(fā)現(xiàn)，這個(gè)漏洞影響了50萬Web 服務(wù)器。而經(jīng)360檢測，國內(nèi)有不少于30%的網(wǎng)站中招，其中包括網(wǎng)銀、網(wǎng)購、網(wǎng)上支付、郵箱、門戶等知名網(wǎng)站和服務(wù)，而且，無論用戶電腦多么安全，只要網(wǎng)站使用了存在漏洞的OpenSSL版本，用戶就可能被黑客實(shí)時(shí)監(jiān)控到登錄賬號(hào)和密碼。據(jù)搜索引擎商 Shodan 報(bào)告，截至2019年底，該漏洞引起了91000多起脆弱性事件。這正是廣為人知的“OpenSSL心臟出血漏洞”，因影響范圍之廣、破壞性之大，被稱為網(wǎng)絡(luò)安全里程碑事件。

伴隨數(shù)字化進(jìn)一步發(fā)展，開源漏洞的破壞性還將更加嚴(yán)重?！安还苁侵腔鄢鞘?，智慧醫(yī)療等，都需要用到一些人工智能應(yīng)用或者服務(wù)，而這些應(yīng)用或者服務(wù)的實(shí)現(xiàn)是建立在一系列AI框架之上，需要利用AI框架訓(xùn)練模型，并實(shí)現(xiàn)最后的推理預(yù)測?！?杜躍進(jìn)博士表示，一旦框架存在問題，既會(huì)影響人工智能應(yīng)用或者服務(wù)的開發(fā)者，更多的會(huì)影響用戶，甚至?xí)绊懼腔坩t(yī)療、智慧城市的正常運(yùn)轉(zhuǎn)。另一方面，隨著信創(chuàng)產(chǎn)業(yè)的高速發(fā)展，開源軟件已成為信創(chuàng)生態(tài)建設(shè)的“基石”，開源軟件安全問題已成為信創(chuàng)安全保障的重要環(huán)節(jié)。

因此，如何更加妥善的應(yīng)對(duì)開源帶來的風(fēng)險(xiǎn)，是全行業(yè)需要思考的問題。360一直致力于開源安全能力建設(shè)，一方面，作為國家新一代人工智能安全開放創(chuàng)新平臺(tái)的依托單位，360已累計(jì)發(fā)現(xiàn)主流機(jī)器學(xué)習(xí)框架及依賴組件漏洞超過100個(gè)，影響范圍包括Tensorflow、Caffe、PyTorch等；另一方面，圍繞信創(chuàng)安全面臨的嚴(yán)峻考驗(yàn)，360積極開展信創(chuàng)安全體系頂層設(shè)計(jì)，適配信創(chuàng)安全產(chǎn)品，聯(lián)合統(tǒng)信軟件等發(fā)起“國密數(shù)字證書計(jì)劃”。

但是，僅靠安全產(chǎn)業(yè)界現(xiàn)有的力量是遠(yuǎn)遠(yuǎn)不夠的，杜躍進(jìn)博士呼吁要用開源精神和開源模式建設(shè)信創(chuàng)安全生態(tài)，提高信創(chuàng)安全水平，調(diào)動(dòng)民營企業(yè)和社會(huì)力量的優(yōu)勢，建設(shè)信創(chuàng)安全整體能力。為此，2019年10月，360打造了全國第一家開源漏洞響應(yīng)平臺(tái)360BugCloud，并首創(chuàng)“自主議價(jià)”的全新模式及“第三方專家評(píng)審”機(jī)制，在獎(jiǎng)金設(shè)立上，以“四位數(shù)起且上不封頂”的致謝金額，表達(dá)對(duì)每一位致力于維護(hù)開源軟件及社區(qū)平臺(tái)安全、世界安全的研究員的尊重。

業(yè)界人士評(píng)價(jià)稱，360BugCloud是一個(gè)漏洞眾測的平臺(tái)，可以延伸成漏洞研究人員的社區(qū)，再進(jìn)一步可以衍化成一個(gè)用社會(huì)化力量幫助用戶應(yīng)對(duì)漏洞的社區(qū)，對(duì)開源安全意義重大。而此次開源軟件供應(yīng)鏈安全實(shí)驗(yàn)室的成立，也將進(jìn)一步推動(dòng)建立開放創(chuàng)新生態(tài)體系，服務(wù)我國開源生態(tài)建設(shè)。

據(jù)悉，作為數(shù)字中國建設(shè)成果峰會(huì)的核心分論壇之一，軟件開源生態(tài)分論壇由工業(yè)和信息化部、國家互聯(lián)網(wǎng)信息辦公室主辦，國家工業(yè)信息安全發(fā)展研究中心和福州市人民政府共同承辦。

雷鋒網(wǎng)雷鋒網(wǎng)

雷峰網(wǎng)版權(quán)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。