新闻中心

EEPW首页 > 嵌入式系统 > 市场分析 > 新思科技:构建可信软件不容忽视开源组件和依赖管理

新思科技:构建可信软件不容忽视开源组件和依赖管理

作者:时间:2022-11-22来源:电子产品世界收藏

开源已经成为软件行业的趋势。然而,由于开源使用的便捷性,有些企业可能会忽略其带来的风险。和依赖管理对于软件安全性和可信性来说极其重要。

本文引用地址:http://www.eepw.com.cn/article/202211/440683.htm

 

开源软件无处不在。无论在什么行业,每个企业都需要依赖软件来满足其业务需要。而且,企业构建和使用的大多数应用程序都包含了开源代码。随着各行各业迁移至云原生应用以及应用程序越来越复杂,软件的安全风险也随之增长。企业需要在其软件开发生命周期(SLDC)中实施开源依赖最佳实践,并选择正确的工具来管理其开源风险。指出对开发人员进行开源安全培训和部署强大的软件组成分析(SCA)工具,都是保护代码、降低开源软件风险的关键步骤。

 

中国区软件应用安全业务总监杨国梁表示:“开源已经被明确列入了中国‘十四五’规划,其价值正在被越来越多的领域所认可。虽然凭借其开放、协作、共享的特性,开源这一赛道持续火热。但其中的风险隐患也不容忽视。过度依赖可能导致产品同质化;更需要重视的是,这还会增加安全风险、知识产权风险、供应链安全风险等。企业需要制定清晰的开源策略,并在内部及供应链贯彻该策略,借助可靠的测试工具,以满足业务发展需求的速度开发产品。”

 

发布的2022年开源安全和风险分析》报告(OSSRA强调了在商业和专有应用程序中使用开源的趋势,并提供了见解,以帮助开发人员更好地了解他们所处的互联软件生态系统,同时还详细地介绍了非托管开源所带来的安全隐患,包括安全漏洞、过期或废弃的组件以及许可证合规性问题。该报告调研了17个行业,其中计算机硬件和半导体、网络安全、能源与清洁技术,以及物联网这四个行业被审计的代码库中100%包含。其余的垂直行业的代码库中有93%99%包含开源组件。

 

报告还发现许可证冲突总体上在减少。超过一半(53%)的被审代码库存在许可证冲突,与 2020 年的 65% 相比大幅下降。尽管如此,未经审查的依赖关系的用例有所增加。也就是说,当开发人员引入开源依赖项时,他们通常不知道其中包含许可条款的子依赖项。例如,常用的 node.js 组件的某些版本包含一个依赖项,该依赖项使用了 CC-SA 3 许可协议下许可的代码,这可能会对被许可人提出非预期的要求,需要对可能的知识产权IP问题或其它影响进行法律评估。

 

更糟糕的是使用过时的开源组件仍然是常态。在新思科技Black Duck审计服务团队今年分析的2,097个代码库中, 88%的代码库包含过时版本的组件。这意味着,市场上有可用的更新/修复版本,但开发人员并未采用。

 

没有将软件升级到最新版本的理由有很多。但是,如果没有一份清单,准确列明其在代码使用的开源组件,那过时的组件可能就会被遗忘;直到变成一个易受攻击的高风险漏洞。

 

这正是Log4j漏洞产生的原因。漏洞本身固然危险,但引起企业恐慌和混乱的是,当他们试图修复漏洞时,却不知道Log4j在其系统和应用程序中的位置。甚至有的企业还在着急地检查他们是否应用了Log4j

 

在危机发生之前建立开源依赖最佳实践

建立一个全面的开源软件管理程序或许令人望而却步,但企业可以参考一些最佳实践,以循环渐进提升开源软件安全。

 

为了避免“零日漏洞”带来的风险,保护资源和数据,企业需要建立软件治理,包括制定策略、设置审批流程以及对现有开源软件依赖项进行全面审计。

 

1.      制定策略

制定开源策略可以最大限度地降低使用开源软件的法律、技术和业务风险。有一些企业甚至设立开源项目办公室,以管理与开源软件相关的所有事宜。

 

制定开源策略的第一步是要明确主要利益相关者。这包括开发人员、高层管理人员、IT人员、使用开源组件的团队经理、就开源许可证合规性提供建议的法律专家以及软件架构师等。他们都会受到策略的影响。所有利益相关者都应该今早参与到开源相关流程。

 

开源策略应该列明企业使用开源组件的目的;目前使用多少开源组件;如何使用开源组件;包含哪些开源许可证;开源软件的使用对于内部开发和交付的软件有何不同等。企业还需要建立开源软件采购和选择流程。比较理想的情况下,该流程标明允许使用的网站、存储库、获取开源软件的方法,以及如何确定特定软件包是否适用。此外,还需要规定谁可以下载开源软件、从哪里下载,以及在下载、使用或分发之前是否需要许可。

 

2.      设置审批流程

您还应该建立一个审批流程,以确定软件包是否满足企业的需求和质量标准。 需要考虑的标准包括代码质量、支持级别、项目成熟度、贡献者声誉和漏洞趋势。

 

如果流程审批要发挥作用,则需要快速处理请求。 建立一个预先批准的开源列表可以帮助加速处理请求。

 

3.      创建审计流程以检测开源软件

除了确保遵守内部政策外,审计还可以全面了解正在使用的开源软件。 这将帮助识别和定位开源组件,对于维护开源许可证合规性至关重要。而且,当有漏洞披露时,企业也可以尽快响应。

 

为了查明应用中易受攻击的组件,您必须首先掌握应用中的所有开源组件。 这需要考虑代码的所有版本和fork,检测源代码和二进制形式的组件,分析经常嵌入开源的商业软件,并检查包管理器中声明以外的内容。 手动记录开源清单通常不准确,将这些任务自动化很有必要。

 

审计后,企业将能够创建任务列表和相应的计划,以帮助改善软件并实现合规性。 此类任务可能包括提供源代码,包括代码或文档中所需的通知,以及更新最终用户许可协议。 如不符合合规性,您需要寻找替代方案,例如不同的库。



评论


相关推荐

技术专区

关闭