(赵法彬/数字通信世界)开源自从诞生以来就深受广大用户的欢迎,由于开源组件的爆发式增长,如今开源的使用超过了60%。当我们在享用开源带来的免费、快捷与强大功能时,很少有人会意识到开源带来的风险,很多企业对于开源安全漏洞的影响意识不足,对于开源缺乏有效追踪和管理,对于开源的使用缺乏选择的标准,更要命的是没有治理开源的工具。
开源治理非常重要
开源是构建软件应用的基础,如果没有有效的方法来跟踪和管理它,企业将面临使用开源所带来的安全、许可证合规性和代码质量风险,因此,有效的开源工具对于抗击黑客攻击、保护敏感数据和获得客户信任来说至关重要。让人欣慰的是,我国最近两年已经意识到开源管理的重要性,中国信息通信研究院(简称“信通院”)于2019年下半年牵头起草《开源治理工具能力要求 第1部分:开源组成和安全性分析》标准,该标准是国内首个针对开源组成和合规安全性分析的开源治理工具标准,旨在规范和提高开源治理工具服务商的能力,同时帮助用户企业采购工具选型做参考。
为了让国内用户更好地理解和拥抱开源,信通院近日正式发布了业内首个《开源生态白皮书(2020)》(以下简称“白皮书”),白皮书认为:开源软件数量庞大是开源治理的难点;开源风险问题凸显,成为我国开源应用屏障;政府部门引导产业关注开源风险。与此同时,信通院还牵头主办了2020 OSCAR开源产业大会,旨在推进云计算企业利用开源软件不断提升技术水平,国内外多家开源管理技术企业参加了本次大会,美国新思科技公司(Synopsys)还在大会上发表了主题演讲,从开源治理的起源、开源和知识产权的关系、开源和专利的关系、开源和美国出口法案的关系以及开源安全漏洞管理这个几个方面探讨企业如何拥抱开源,如何更好的治理开源组件,以及企业在开源治理的实践方案。
根据新思科技今年公布的《2020年开源安全和风险分析》报告(OSSRA)显示,有75%的代码库包含了安全漏洞,其中49%的代码库包含了高危的安全漏洞,高危意味着如果其发生可能性的概率非常大,而且如果发生产生后果非常严重;有33%的代码库未经授权的许可,有67%的代码库包含了license冲突;82%的代码库至少已经有过时四年的开源组件,有88%的代码库在两年内没有任何的可能进行一些开源组件的变更,等等。新思科技软件质量与安全部门销售总监兼管理顾问薛植元表示,安全漏洞、许可证违规和运维风险,就是企业使用开源软件所面临的三大风险,而新思科技就是帮助企业来解决上述风险的。
提供开源管理技术
既然开源治理难度很多很大,那么如何才能实现开源治理呢?新思科技助力中国信息通信研究院发布业内首个《开源生态白皮书》,Black Duck高分通过的开源工具的本地化方案评测。薛植元说,新思科技为白皮书的发布做出了积极的贡献:一是参与扫描了20个国际开源项目,通过新思科技软件组成分析工具提供卓越的多因子探测技术,为报告提供全面和高精度的可依赖的识别结果,助力信通院发布高可信的报告;二是集合Black Duck的深厚的行业经验和深度的积累,为开源项目提供深度的探测组件能力,推动行业和用户意识到开源组件依赖的合规和安全风险远比想象的要高;三是通过新思科技的全球视野和丰富企业级最佳实践,助力信通院协助合作单位快速和高效的引领行业标准,使得OSCAR成为中国开源行业风向标。
薛植元告诉记者,新思科技件组成分析工具Black Duck日前高分通过中国信息通信研究院的开源工具的本地化方案评测,Black Duck在此次严苛的评估中表现优异,开源组件检出率高达95%。新思科技软件组成分析Black Duck 解决方案可为企业提供可视化管理和监控,以最大限度地发挥开源的优势,同时降低企业级的风险,可以帮助企业快速构建软件的同时确保开源安全以及开源合规。一直以来,新思科技都致力于帮助企业更快速地构建安全、优质的软件。
对开源用户的建议
既然开源用的比较多,那么,使用开源软件需要注意哪些方面呢?薛植元回答说,一定要清楚使用开源的带来的相关风险,虽然开源是免费的,但是使用开源就会带来一些风险并且需要履行一些义务,在审视开源策略及选型时,有四点需要注意:第一,开源软件的安全性,是不是有已知的高危的漏洞存在。第二,许可证的类型,注意使用开源的类型以及需要履行的一些义务。第三,在进行开源选型的时候,要选择那些比较活跃的开源软件,而不是选择那些已经很多年没有更新过的开源软件,因为那会造成以后的维护成本非常高,如果它不更新了,这些开源软件其实已变成你私有代码一部分了,需要你花很多的精力去重写这部分代码进行维护,非常麻烦。第四,半导体、高端制造等企业如果有硬件去出口,或者国内互联网公司在海外发展,一定要留意到当地的法律法规,等等。因为开源软件里面包含了很多的加密的算法,这些加密算法是不是可以让你的产品使用,如果你使用了,那么可不可以把这些产品出口到某些国家、地区或某些实体和企业,都要提前搞清楚,要知道自己所使用的开源价值加密算法是否符合国外的法律法规,否则如果违反了这些法律法规,其后果是非常的严重的。
总之,新思科技高分通过信通院开源工具的本地化方案评测,并且通过开源工具全方位评测;深度依赖组件探测能力引领全球的开源探测风向标;新思科技开源合规治理的整体解决方案助力企业高效治理。
