近年來，隨著云計(jì)算、AI、IOT等技術(shù)的不斷發(fā)展，IT等信息技術(shù)領(lǐng)域也有了新的突破，可以更好的賦能關(guān)鍵信息基礎(chǔ)設(shè)施建設(shè)。然而，安全作為主旋律，一直是備受關(guān)注的焦點(diǎn)。一方面，傳統(tǒng)安全防護(hù)措施的缺失，對于新型高級威脅缺少防護(hù)壁壘；另一方面，開源趨勢下，事后防御的手段已不滿足安全需求，“安全左移”下提出了更高的安全需求。

尤其是，近日影響力巨大的log4j 2.x的漏洞事件，引起了軒然大波。包括之前的solarwinds事件、Apace Strust2等漏洞事件都為我們敲響了安全警鐘。如何做好此類事件的威脅防護(hù)、開源安全的風(fēng)險(xiǎn)治理是需要大家積極探討的新命題。

12月30日，由懸鏡安全、OpenSCA聯(lián)合主辦的全球首款企業(yè)級OpenSCA技術(shù)開源發(fā)布會(huì)在北京舉行，會(huì)議現(xiàn)場，針對“開源軟件”、“供應(yīng)鏈安全”等熱點(diǎn)帶來不同角度的學(xué)術(shù)探討與實(shí)踐分享，共同探討開源產(chǎn)業(yè)生態(tài)下的安全新態(tài)勢。

用開源的方式做開源風(fēng)險(xiǎn)治理

大會(huì)現(xiàn)場，懸鏡安全創(chuàng)始人兼CEO子芽圍繞“開源”、“風(fēng)險(xiǎn)治理”、“OpenSCA”等關(guān)鍵詞分享了如何用開源的方式做開源風(fēng)險(xiǎn)治理。

 懸鏡安全創(chuàng)始人兼CEO子芽分享

子芽表示，應(yīng)用開源是大勢所趨，但是避免不了Web通用漏洞、業(yè)務(wù)邏輯漏洞、開源成分的缺陷及后門等漏洞問題，而用開源的方式做開源風(fēng)險(xiǎn)治理，可以讓開源用多樣性擁抱不確定性，形成開源新范式。

此次，懸鏡安全對外發(fā)布OpenSCA開源技術(shù)，是為了解決看不清、摸不透、跟不上、防不住的治理難題。OpenSCA作為懸鏡安全旗下商業(yè)級SCA產(chǎn)品源鑒OSS開源威脅管控平臺的開源版本，它繼承了源鑒OSS的多源SCA開源應(yīng)用安全缺陷檢測核心能力。懸鏡把OpenSCA技術(shù)開源，對于守護(hù)中國軟件供應(yīng)鏈安全有著重要的意義。

據(jù)了解，懸鏡安全數(shù)十位來自北大的科研人員、行業(yè)專家智庫，歷時(shí)26280個(gè)小時(shí)潛心打磨，提出了“用開源的方式做開源風(fēng)險(xiǎn)治理”，用簡單的配置即可完成對開源組件所使用的成分進(jìn)行檢測，深度挖掘組件中潛藏的各類安全漏洞及開源協(xié)議風(fēng)險(xiǎn)，進(jìn)而助力企業(yè)進(jìn)行開源風(fēng)險(xiǎn)的識別及治理。

開源軟件下軟件供應(yīng)鏈安全如何治理

log4j 2漏洞是近期圈內(nèi)和圈外討論熱度都較高的話題，Apache Log4j是一個(gè)基于Java的日志記錄工具，基本70%以上的企業(yè)都有使用的開源代碼。log4j 2漏洞的爆發(fā)給我們帶來的警示是什么？開源的軟件如何保證安全？log4j 2究竟是“黑天鵝”還是“灰犀牛”？

基于以上問題國家信息技術(shù)安全研究中心總師組專家楊韜認(rèn)為：“這是一個(gè)大事，但并不是新鮮事。對于應(yīng)對漏洞，產(chǎn)品和服務(wù)的提供者以及網(wǎng)絡(luò)運(yùn)營者，需要在未來很長的一段時(shí)間之內(nèi)做好心理準(zhǔn)備和0day漏洞共存?！?/p>

北京賽博英杰科技有限公司創(chuàng)始人兼董事長表示：“企業(yè)要敢于盤家底，要排查有多少系統(tǒng)用了該工具，所有配置設(shè)置都要了解清楚。”

隨著軟件產(chǎn)業(yè)的快速發(fā)展，軟件供應(yīng)鏈也越發(fā)復(fù)雜多元，復(fù)雜的軟件供應(yīng)鏈會(huì)引入一系列的安全問題，導(dǎo)致信息系統(tǒng)的整體安全防護(hù)難度越來越大。其中，開源軟件的安全問題尤其值得關(guān)注。

東方通集團(tuán)副總裁朱木林認(rèn)為：“開源社區(qū)難以管理，開源代碼的漏洞很多，因此要積極擁抱開源，如果廠商、監(jiān)管以及國家三方合力形成一種機(jī)制，一起營運(yùn)管理開源軟件的安全生態(tài)。”

“l(fā)og4j 2漏洞的爆發(fā)，站在戰(zhàn)略投資的角度來說，讓安全領(lǐng)域成為了資本所青睞的對象”，同時(shí)國家也會(huì)有更多的政策傾斜到這一領(lǐng)域?！卑俣裙こ绦懿啃试萍夹g(shù)總監(jiān)及開源中國聯(lián)席產(chǎn)品主席張偉軍如是說。

懸鏡安全CTO寧戈則認(rèn)為開源的風(fēng)險(xiǎn)治理是比較嚴(yán)重的問題，因?yàn)殚_源組件的維護(hù)都是社區(qū)自發(fā)的，安全力量投入不足，另外開源社區(qū)的發(fā)展是無序進(jìn)化的狀態(tài)，對于安全治理也是比較難的。

“黑天鵝”一般指那些出乎意料發(fā)生的小概率風(fēng)險(xiǎn)事件；“灰犀牛”指那些經(jīng)常被提示卻沒有得到充分重視的大概率風(fēng)險(xiǎn)事件。相對于開源軟件來說，面對的“黑犀?！钡耐{是更多的，因此安全治理必須要考慮。

據(jù)不完全統(tǒng)計(jì)，全球97%的軟件開發(fā)者和99%的企業(yè)使用開源軟件，基礎(chǔ)軟件、工業(yè)軟件、新興平臺軟件大多基于開源，開源軟件已經(jīng)成為軟件產(chǎn)業(yè)創(chuàng)新源泉和“標(biāo)準(zhǔn)件庫”。與此同時(shí)，開源許可證的兼容性問題、開源項(xiàng)目的合規(guī)問題、開源安全漏洞問題和開源知識產(chǎn)權(quán)的侵權(quán)等問題也日趨凸顯。

未來，懸鏡安全將依托軟件供應(yīng)鏈安全技術(shù)，布局開源安全產(chǎn)業(yè)生態(tài)，以前瞻性產(chǎn)業(yè)視角視角構(gòu)筑行業(yè)安全生產(chǎn)線，不斷拓展人類認(rèn)知實(shí)踐的邊界，在更大的范圍幫助更多的企業(yè)實(shí)現(xiàn)開源風(fēng)險(xiǎn)治理，助力開源生態(tài)健康有序發(fā)展。（雷峰網(wǎng)(公眾號：雷峰網(wǎng))）

如何參與OpenSCA開源項(xiàng)目

一、OpenSCA官網(wǎng)：

https://opensca.xmirror.cn/

二、OpenSCA開源項(xiàng)目地址

1. 本地檢測工具

GitHub：

https://github.com/XmirrorSecurity/OpenSCA-cli

Gitee：

https://gitee.com/XmirrorSecurity/OpenSCA-cli

2. IDEA插件

GitHub：

https://github.com/XmirrorSecurity/OpenSCA-intellij-plugin

Gitee：

https://gitee.com/XmirrorSecurity/OpenSCA-intellij-plugin    

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。