《开源安全深度观察报告》发布 (附下载)

开源安全已经成为全球化挑战，开源安全漏洞与后门植入、隐私信息泄露等安全问题层出不穷。为了让企业安全地使用开源软件，更好地应对开源安全威胁，云计算和开源产业联盟基于对开源产业的持续深入研究，在2022年首次发布《开源安全深度观察报告》。

此报告由中国信通院牵头，中国建设银行、建信金融科技有限责任公司、华为技术有限公司、华为云计算技术有限公司、中兴通讯股份有限公司、中电科拟态安全技术有限公司、深圳开源互联网安全技术有限公司、新思科技、悬镜安全、北京天融信网络安全技术有限 公司、苏州棱镜七彩信息科技有限公司、国网电商科技有限公司、统信软件技术有限公司、浩鲸云计算科技股份有限公司等国内多家行业头部企业共同参与编制。

在5月20日召开的“OSCAR开源先锋日”上，中国信通院正式发布《开源安全深度观察报告》并进行深度解读。此白皮书从开源安全的现状、趋势、市场、技术、实践等多维度出发，对全球和国内开源安全领域进行了全面、深度的剖析，为企业提供了开源安全治理的最佳指南。

以下是白皮书主要内容及核心观点：

观点一

全球开源生态发展迅速

近年来，全球开源项目数量爆发式增长，企业逐渐重视对外开源贡献。随着企业开源软件应用比例逐年提升，开源已成为构建企业信息技术重要底座。根据中国信通院调查显示，2021年我国已经使用开源技术的企业占比为88.2%，暂未计划使用开源技术的企业占比为2.1%。

观点二

开源安全风险严重威胁全球企业信息和财产安全

随着开源软件成为各行业构建信息系统的主流趋势，且开源软件迭代快、安全开发机制欠缺、维护人手不足等现状，导致全球开源安全事件频发，威胁着全球信息安全，也带来了隐私信息泄露的风险。因此，开源安全风险已成为经成为企业全球化挑战，是企业开源首要关注的风险点，其中包括开源漏洞风险、开源后门植入风险和开源隐私信息泄露风险。

观点三

全球开源安全防范措施愈加严格，我国逐步深入探索

从全球看，多国已发布开源安全防范政策，开源安全组织已开始探索开源社区安全保障，构建安全开发衡量标准，头部科技公司也较早建立了开源安全防范体系，在国家、开源组织

企业等多个层面合力应对开源安全威胁。

在我国，开源安全防范逐步深入探索，相关举措已陆续发起。在政府层面，多政策提及开源安全防范要求；在开源安全组织层面，如中国信通院已创建“可信开源”品牌，开展了开源安全标准化制定等多项工作，为企业规范开源治理提供指引。在开源社区层面，国内部分活跃度高的开源社区陆续设立开源安全漏洞治理组，以保障社区安全治理。在企业层面，金融与出海企业开源安全防范体系落地较早，金融机构已普遍制定开源安全策略应对开源安全风险。

观点四

开源安全防范，需兼顾上游开源社区与下游开源用户

针对上游开源社区，可从以下五个方面提高开源安全防范能力：

第一，开源社区应对社区运营的开源软件提供安全开发规范指引，包括输入数据安全规范、编程习惯规范、异常处理规范及数据库使用规范等。

第二，开源社区需进行开发过程全流程安全扫描与识别，例如：在开发阶段进行开源软件引入选型，同时建立安全编码要求；在测试阶段进行安全测试、代码扫描、模糊测试和渗透测试审查敏感数据、安全隐私、漏洞等问题并及时进行修复；在开源前进行发布阶段安全检查，确保开源软件开源或新版本发布之前具有明确的病毒扫描、完整性检查要求等。

第三，开源社区需建立漏洞响应机制提高漏洞修复效率，根据安全漏洞情况，持续更新漏洞内/外部影响范围，如遇问题应及时组织相关人员对漏洞进行修复。

第四，开源社区应持续进行健康度监测保障社区安全运维能力，检查开源软件所在社区具备组织多样性、贡献多样性、社区活跃度。

第五，开源社区应进行分支版本与工作流管理提高开源安全，例如：社区的开发需要根据自己的项目规模和项目维护的策略，选择自己项目的工作流；下游的开发可能在局部采取不同于上游的工作流，缺陷修复遵循上游优先的原则，先在上游修复等。

针对下游开源用户企业，需建立开源安全问题修复措施，在隐私信息泄露防范方面需做好出口管理。

在修复措施方面，可考虑四个方面：第一，安全漏洞和后门植入需按照轻重缓急应修尽修；第二，漏洞评估与解读首先为用户企业提供漏洞全貌；第三，受影响组件分析为用户企业梳理漏洞修复优先级；第四，修复方案制定应结合用户企业实际情况实施，优先考虑升级修复，并参考两大原则：一是安全检测“左移”；二是若系统已上线，“先评估后整改”。

在隐私信息泄露防范方面，首先，开源运营方应对开源软件产品及服务建立隐私信息安全监控防护机制。其次，开发者在使用开源代码时，应注意各类语言的开发习惯，尽量避免底层的逻辑设计漏洞、内存漏洞、缓冲区漏洞等，确保将隐私信息处于安全保护状态。最后，贡献开源技术的企业贡献者也应遵循保护核心代码、隐私信息保密，不可将其直接上传至开源社区，上传至开源社区的代码也应进行有效脱敏去核。

观点五

联合政产学研各方力量，共建安全可信的开源创新生态

开源软件安全是动态发展的，需要联合多方力量共同建设安全可信的开源创新生态。从国家层面，建议国家和行业监管部门继续完善和制定开源安全相关的政策；从组织层面，统筹考虑建立开源软件安全标准化体系；从个人和企业层面，联合国内科技企业和社会力量，不断提高自身开源代码安全开发能力，并积极配合开源软件安全相关的政策、标准，共同打造安全可信的开源生态环境。

阅读《开源安全深度观察报告》全文：http://doc.opensourcecloud.cn/2022/0523.pdf。

声明：本文来自可信开源，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。