新思科技：构建可信软件不容忽视开源组件和依赖管理

开源已经成为软件行业的趋势。然而，由于开源使用的便捷性，有些企业可能会忽略其带来的风险。开源组件和依赖管理对于软件安全性和可信性来说极其重要。

开源软件无处不在。无论在什么行业，每个企业都需要依赖软件来满足其业务需要。而且，企业构建和使用的大多数应用程序都包含了开源代码。随着各行各业迁移至云原生应用以及应用程序越来越复杂，软件的安全风险也随之增长。企业需要在其软件开发生命周期(SLDC)中实施开源依赖最佳实践，并选择正确的工具来管理其开源风险。新思科技指出对开发人员进行开源安全培训和部署强大的软件组成分析(SCA)工具，都是保护代码、降低开源软件风险的关键步骤。

新思科技中国区软件应用安全业务总监杨国梁表示：“开源已经被明确列入了中国‘十四五’规划，其价值正在被越来越多的领域所认可。虽然凭借其开放、协作、共享的特性，开源这一赛道持续火热。但其中的风险隐患也不容忽视。过度依赖开源组件可能导致产品同质化；更需要重视的是，这还会增加安全风险、知识产权风险、供应链安全风险等。企业需要制定清晰的开源策略，并在内部及供应链贯彻该策略，借助可靠的测试工具，以满足业务发展需求的速度开发可信软件产品。”

新思科技发布的《2022年开源安全和风险分析》报告（OSSRA）强调了在商业和专有应用程序中使用开源的趋势，并提供了见解，以帮助开发人员更好地了解他们所处的互联软件生态系统，同时还详细地介绍了非托管开源所带来的安全隐患，包括安全漏洞、过期或废弃的组件以及许可证合规性问题。该报告调研了17个行业，其中计算机硬件和半导体、网络安全、能源与清洁技术，以及物联网这四个行业被审计的代码库中100%包含开源组件。其余的垂直行业的代码库中有93%到99%包含开源组件。

报告还发现许可证冲突总体上在减少。超过一半(53%)的被审代码库存在许可证冲突，与 2020 年的 65% 相比大幅下降。尽管如此，未经审查的依赖关系的用例有所增加。也就是说，当开发人员引入开源依赖项时，他们通常不知道其中包含许可条款的子依赖项。例如，常用的 node.js 组件的某些版本包含一个依赖项，该依赖项使用了 CC-SA 3 许可协议下许可的代码，这可能会对被许可人提出非预期的要求，需要对可能的知识产权IP问题或其它影响进行法律评估。

更糟糕的是使用过时的开源组件仍然是常态。在新思科技Black Duck审计服务团队今年分析的2,097个代码库中， 88%的代码库包含过时版本的组件。这意味着，市场上有可用的更新/修复版本，但开发人员并未采用。

没有将软件升级到最新版本的理由有很多。但是，如果没有一份清单，准确列明其在代码使用的开源组件，那过时的组件可能就会被遗忘；直到变成一个易受攻击的高风险漏洞。

这正是Log4j漏洞产生的原因。漏洞本身固然危险，但引起企业恐慌和混乱的是，当他们试图修复漏洞时，却不知道Log4j在其系统和应用程序中的位置。甚至有的企业还在着急地检查他们是否应用了Log4j。

在危机发生之前建立开源依赖最佳实践

建立一个全面的开源软件管理程序或许令人望而却步，但企业可以参考一些最佳实践，以循环渐进提升开源软件安全。

为了避免“零日漏洞”带来的风险，保护资源和数据，企业需要建立软件治理，包括制定策略、设置审批流程以及对现有开源软件依赖项进行全面审计。

制定策略

制定开源策略可以最大限度地降低使用开源软件的法律、技术和业务风险。有一些企业甚至设立开源项目办公室，以管理与开源软件相关的所有事宜。

制定开源策略的第一步是要明确主要利益相关者。这包括开发人员、高层管理人员、IT人员、使用开源组件的团队经理、就开源许可证合规性提供建议的法律专家以及软件架构师等。他们都会受到策略的影响。所有利益相关者都应该今早参与到开源相关流程。

开源策略应该列明企业使用开源组件的目的；目前使用多少开源组件；如何使用开源组件；包含哪些开源许可证；开源软件的使用对于内部开发和交付的软件有何不同等。企业还需要建立开源软件采购和选择流程。比较理想的情况下，该流程标明允许使用的网站、存储库、获取开源软件的方法，以及如何确定特定软件包是否适用。此外，还需要规定谁可以下载开源软件、从哪里下载，以及在下载、使用或分发之前是否需要许可。

设置审批流程

您还应该建立一个审批流程，以确定软件包是否满足企业的需求和质量标准。需要考虑的标准包括代码质量、支持级别、项目成熟度、贡献者声誉和漏洞趋势。

如果流程审批要发挥作用，则需要快速处理请求。建立一个预先批准的开源列表可以帮助加速处理请求。

创建审计流程以检测开源软件

除了确保遵守内部政策外，审计还可以全面了解正在使用的开源软件。这将帮助识别和定位开源组件，对于维护开源许可证合规性至关重要。而且，当有漏洞披露时，企业也可以尽快响应。

为了查明应用中易受攻击的组件，您必须首先掌握应用中的所有开源组件。这需要考虑代码的所有版本和fork，检测源代码和二进制形式的组件，分析经常嵌入开源的商业软件，并检查包管理器中声明以外的内容。手动记录开源清单通常不准确，将这些任务自动化很有必要。

审计后，企业将能够创建任务列表和相应的计划，以帮助改善软件并实现合规性。此类任务可能包括提供源代码，包括代码或文档中所需的通知，以及更新最终用户许可协议。如不符合合规性，您需要寻找替代方案，例如不同的库。