当前,以数据、数字技术等为关键要素的数字经济正成为推动全球经济发展的新动能。中国信通院发布的《中国数字经济发展白皮书(2021)》报告显示,2020年我国数字经济依然保持高速的发展态势,规模达到39.2万亿元,较上年增加3.3万亿元,占GDP比重为38.6%,同比提升2.4%,对GDP贡献明显,有效支撑疫情防控和经济社会发展。预计2022年我国数字经济增加值规模将达48.9万亿元。
(资料图)
软件既是制造强国、网络强国、数字中国建设的关键支撑,又是系统、业务能够安全运行、可靠运行的根本。开源组件是软件供应链重要组成部分。大部分软件应用开发会使用到开源组件,与开源软件相关的依赖关系极其复杂。
据新思科技发布的《2022年开源安全和风险分析》报告(OSSRA),强调了在商业和专有应用程序中使用开源的趋势,并提供了见解,以帮助开发人员更好地了解他们所处的互联软件生态系统,同时还详细地介绍了非托管开源所带来的安全隐患,包括安全漏洞、过期或废弃的组件以及许可证合规性问题。该报告调研了17个行业,其中计算机硬件和半导体、网络安全、能源与清洁技术,以及物联网这四个行业被审计的代码库中100%包含开源组件。其余的垂直行业的代码库中有93%到99%包含开源组件。
新思科技中国区软件应用安全业务总监杨国梁表示:“开源已经被明确列入了中国‘十四五’规划,其价值正在被越来越多的领域所认可。虽然凭借其开放、协作、共享的特性,开源这一赛道持续火热。但其中的风险隐患也不容忽视。过度依赖开源组件可能导致产品同质化;更需要重视的是,这还会增加安全风险、知识产权风险、供应链安全风险等。企业需要制定清晰的开源策略,并在内部及供应链贯彻该策略,借助可靠的测试工具,以满足业务发展需求的速度开发可信软件产品。”
杨国梁介绍,新思科技从2008年开始发布软件安全构建成熟度模型BSIMM(Building Security In Maturity Model)报告,通过跟国际领先的软件企业进行访谈,以了解软件安全的大致运行框架,迄今为止已经形成了数百家企业的真实数据实践。
杨国梁认为,其最新版本的软件安全构建成熟度模型(BSIMM)的第13版——BSIMM13,反应出在软件安全构建过程中呈现了四大趋势:
第一个趋势是“无处不移”:此前,软件安全问题一直期望能在开发的早期阶段解决,也就是行业内所称的“左移”。事实上,在软件开发、部署、应用的每一个阶段、每一个节点都会由于生产活动引入独有的安全问题,因此需要在特定时间进行基于上下文的测试。
第二个趋势是安全集成到开发人员的工具链中:此前,大家对于安全的定位是“守门人”,可能在软件开发生命周期的最后阶段做安全扫描。但是,现在大家也看到安全活动不仅仅是安全部门的事情,软件开发部门开始接受安全活动融入到开发过程中,并且在开发工具链上每一个可能的节点进行上下文检查。
第三个趋势是软件供应链风险管理兴起:软件供应链问题并不仅仅局限于开源治理,供应链里还有各种各样的商务的关系,将这些问题全部都输出到一个软件物料清单(SBOM)里面,这将会是近几年来很重要的发展趋势。
第四个趋势是将软件安全扩展到应用程序和产品之外:在进行数字化转型之前,软件安全部门必须把公司内的各个环节,合规部门、开发部门、测试部门等等,它的利益相关者全部都串起来,建立相应的桥梁,所以软件安全变得越来越重要,要处理的活动也越来越复杂。
那么,怎么才能利用BSIMM来做好软件安全计划呢?杨国梁也给出了自己的建议。
“首先指定战略计划,制定开源策略可以最大限度地降低使用开源软件的法律、技术和业务风险。有一些企业甚至设立开源项目办公室,以管理与开源软件相关的所有事宜;其次要设置审批流程,以确定软件包是否满足企业的需求和质量标准。 需要考虑的标准包括代码质量、支持级别、项目成熟度、贡献者声誉和漏洞趋势;最后还应该创建审计流程以检测开源软件,除了确保遵守内部政策外,审计还可以全面了解正在使用的开源软件。 这将帮助识别和定位开源组件,对于维护开源许可证合规性至关重要。而且,当有漏洞披露时,企业也可以尽快响应。” 杨国梁表示。
在数字经济时代,上云绝对是一个不可忽视的话题,云上应用也成为了数字化转型中的典型特征。对于云端安全与软件安全的关系,杨国梁认为,“本质来说,二者都可以说是软件安全,只不过云上应用以云原生的方式来为生产和生活提供服务。“云原生是一个不可逆的趋势,我们现在熟知的各种‘aaS’都是云技术发展的一个结果。新思科技也会提供云原生服务,一方面,一些软件提供商会选择新思科技作为安全工具的供应商,另一方面,新思科技也把安全作为一种能力为客户进行赋能。”杨国梁说。
关键词: