开源社区的隐秘挑战:深层次bug的解决之道

发表时间: 2022-06-01 10:25

如今,开源已成为国家顶层设计中的重要部分,但开源背后深层次的“bug”难以忽视......

出品丨自主可控新鲜事

转载请注明出处

正文共2197,建议阅读时间5分钟



当前,全球范围内90%以上的云服务器操作系统、80%以上的移动操作系统都基于开源软件。在云计算、大数据、人工智能、工业互联网等新兴领域,开源已成为主要开发模式。我国银行、能源、医疗、电力等重要行业运行的系统对开源软件的依赖程度也逐渐上升。可以预见的是,开源已成为国家顶层设计中的重要部分。


但,随着开源组件和容器的广泛采用,开源软件中安全漏洞数据急剧上升,后门问题不断显现,数据安全和隐私风险日益严峻。据WhiteSource《2019年开源组件安全漏洞现状报告》统计显示,2019年公开的开源软件漏洞数量已增至6000多个,增幅近50%;近三年开源漏洞比例逐年增高,在新思科技《2021 开源安全与风险分析报告》中提到,数据显示84%的代码库中至少含有一个漏洞,60%的已审核代码库中仍包含高风险漏洞。


来源:新思科技《2021 开源安全与风险分析报告》


开源软件的安全漏洞对个人的隐私保护及企业和国家的信息安全问题提出了重大挑战。如果开源软件的安全隐患不解决,国内关键信息基础设施安全将是建立在沙滩上的城堡,面临着“平时被控、战时被瘫”的现实风险。因此,重新审视开源软件的风险问题将成为提升我国软件供应链安全的重中之重。


三大风险敲响我国开源安全“警钟”


1、开源软件和供应链“后门”、“断供”风险。


2022年4月,美国中央情报局(CIA)专用的“蜂巢”恶意代码攻击控制平台被曝光。国家计算机病毒应急处理中心报告指出,只要包含美国公司提供的软硬件,就极有可能被内嵌各类的“后门程序”,从而成为美国政府网络攻击的目标。在中美贸易摩擦日益复杂的局势下,一旦美国利用开源软件中的恶意代码、病毒、后门等对我国进行监视或攻击,将使我国信息安全遭受致命打击。


此外,按照美国出口管制条例的规定,所有“公开可获得”的源代码(不含加密软件以及带加密功能的其他开源软件),都是不被出口管制的,而“公开可获得”的带加密功能的源代码,虽不会被限制出口,但需登记备案。这就意味着,如果一个开源项目或开源组织声明遵从美国的出口管制条例,此时一旦美国修改条例,将一些核心基础软件加入到管制中,那么大量核心开源项目将受到出口管制。


近年来,开源软件供应链“卡脖子”事件频频发生,粉碎了“开源无国界”的假象,也给中国敲响了警钟,开源软件供应链问题值得深思。


2、开源项目漏洞管理风险。


开源项目维护者对代码安全质量重视不够和技术能力水平不足,是当前造成开源软件安全漏洞的重要原因。据美国网络安全公司Snyk发布的《2019年开源安全现状调查报告》显示,78% 的漏洞存在于间接依赖关系中;37% 的开源开发者在持续集成(CI)期间没有实施任何类型的安全测试;54%的开发者没有对 Docker 镜像进行任何安全测试;两年内应用程序的漏洞数量增长了 88%。


不同于传统闭源软件,开源软件项目是由多人协作完成,存在代码量庞大且功能繁杂的天然特性,依赖和引用关系比较复杂。以Ceph为例,在实际运维过程中一旦出现代码冲突就像多米诺骨牌,安全漏洞的放大作用非常显著,即使发现开源漏洞,在修复的过程中也需要耗费大量资源和人力且对运维团队的要求很高,而开源项目的维护者的技术能力大多层次不齐,发现并解决漏洞的效率很难控制,这进一步加剧了开源软件的漏洞管理难度。


3、开源软件代码安全审查风险。


开源软件在实际的流通过程中,各个环节间缺乏系统的安全审查机制,导致一旦底层开源组件出现安全漏洞,这些问题组件将传染给哪些商业产品、影响哪些业务领域,没人能给出一个准确的答案,毕竟没有人能完全测试各模块的安全和性能。


布局核心技术自主创新才是消除“BUG”的长久之道


只有在核心领域掌握核心技术,才能在关键时刻不被“开后门”“卡脖子”。因此,从长远来看,要摆脱依赖,消除开源背后深层次的“Bug”,还应该从核心技术自主创新入手。


加快自主创新,确保IT基础设施自主创新。数据安全领域的核心技术多年来一直被国外掌控,试想我们将数据装到别人的仓库中,由别人来管理,安全从何谈起?随着国际形势的风云变幻,以及技术发展的日新月异,越来越多的人逐渐意识到,核心技术的自主研发是安全的根本保障。以存储为例,存储系统安全是数据安全最重要的基础,尤其是存储系统的核心——系统软件,是否采用开源、自主研发程度等,影响着存储系统整体的安全性和稳定性。


信息技术领域,“不进则退,慢进亦退”。在如此严峻形式下,我们必须集中力量在关键处理芯片、基础软件等具有国际竞争力的关键核心技术领域攻关,抓紧突破网络发展的前沿技术和具有国际竞争力的关键核心技术,构建安全可控的底层信息技术体系,占领全球技术创新的竞争高地,保障关键信息基础设施的安全和完善。


结语


自主创新、自主研发是一条艰难却必须走的发展道路。近年来,在国家创新驱动发展战略指引下,我国自主信息技术发展取得较大进展,与此同时我们也应认识到,我国整体自主创新能力、研发能力与发达国家相比仍存在一定差距,核心关键技术“卡脖子”问题仍较为严峻,自主创新依旧任重道远。


产业界同仁应把自主研发、自立自强作为发展的根本基点,去深耕、去攻关、去突破!让中国在自主信息技术体系建设的道路上走得更稳健、更自信。