當前,企業(yè)使用開源代碼構(gòu)建軟件產(chǎn)品已成為主流趨勢,但開源代碼中的安全問題屢屢出現(xiàn)。
7月18日,在由中國信息通信研究院和中國通信標準化協(xié)會合辦的“2023中國互聯(lián)網(wǎng)大會開源供應(yīng)鏈論壇”上,中國信通院副總工程師許志遠表示,要關(guān)注開源供應(yīng)鏈風(fēng)險,因為開源供應(yīng)鏈技術(shù)比較復(fù)雜,開源代碼引入不清,監(jiān)控不足,導(dǎo)致開源代碼中安全問題屢屢出現(xiàn),樹立開源供應(yīng)鏈風(fēng)險意識、加強開源供應(yīng)鏈安全治理,是推動我國開源供應(yīng)鏈良性發(fā)展的有效手段。“我國企業(yè)逐步關(guān)注開源供應(yīng)鏈的安全風(fēng)險治理,如金融、汽車、云服務(wù)商和軟件等行業(yè)以及涉及海外業(yè)務(wù)的企業(yè),對開源供應(yīng)鏈安全的治理關(guān)注度比較高,國內(nèi)企業(yè)也在積極探索開源供應(yīng)鏈的安全治理新模式。”
同時許志遠介紹,我國開源市場在持續(xù)穩(wěn)定增長,根據(jù)中國信通院調(diào)查數(shù)據(jù)顯示,我國目前超過九成企業(yè)已經(jīng)使用開源技術(shù),其中金融、通信等行業(yè)的開源組件使用企業(yè)超過數(shù)千個,云計算、大數(shù)據(jù)開源的應(yīng)用率超過40%,我國使用開源技術(shù)越來越高,使開源技術(shù)成為主流。
開源以開放、平等、協(xié)作、共享為理念,集眾智、采眾長,加速產(chǎn)業(yè)迭代的升級,促進產(chǎn)業(yè)協(xié)同創(chuàng)新,也推動了產(chǎn)業(yè)生態(tài)的完善,已成為全球產(chǎn)業(yè)技術(shù)和全球產(chǎn)業(yè)創(chuàng)新的主導(dǎo)模式,我國也在積極探索開源生態(tài)的建設(shè)。
在開源政策方面,我國開源的相關(guān)政策近年來陸續(xù)出臺,“十四五”規(guī)劃和《2035遠景目標綱要》明確提到“開源”,2021年12月份工業(yè)和信息化部發(fā)布的《“十四五”軟件和信息技術(shù)服務(wù)業(yè)發(fā)展規(guī)劃》中也明確提出,繁榮開源軟件,完善公共服務(wù),優(yōu)化產(chǎn)業(yè)生態(tài)。
中國信通院云大所副所長栗蔚表示,開源是開放的無邊界的新型的協(xié)作模式,基于這種模式,在數(shù)字科技創(chuàng)新、產(chǎn)業(yè)開放、經(jīng)濟共享、全球協(xié)作等方面都可以受益。開源應(yīng)用廣泛的現(xiàn)狀下也面臨諸多開源安全問題,主要分為網(wǎng)絡(luò)安全風(fēng)險、知識產(chǎn)權(quán)風(fēng)險和供應(yīng)鏈風(fēng)險。
“治理開源風(fēng)險,需要政策和標準來保障開源安全,舉例來看,歐盟有FOSSA項目進行開源漏洞的挖掘,美國有開放軟件代碼測試計劃,英國有開放代碼安全注意事項指南,可以對開源安全進行評價。”栗蔚說。
我國也推出了相關(guān)開源的政策和標準,如2021年金融行業(yè)《關(guān)于金融行業(yè)規(guī)范和發(fā)展開源使用》就對金融機構(gòu)開源應(yīng)急潛在漏洞、閉源、停服等風(fēng)險做出規(guī)范。《“十四五”軟件和信息技術(shù)服務(wù)發(fā)展規(guī)劃》里也提到了在開源安全、開源生態(tài)方面的要求。“各國和組織都在從標準和政策等方面規(guī)范開源風(fēng)險,持續(xù)完善軟件產(chǎn)品中開源代碼風(fēng)險治理標準。”栗蔚表示。
鄭重聲明:此文內(nèi)容為本網(wǎng)站轉(zhuǎn)載企業(yè)宣傳資訊,目的在于傳播更多信息,與本站立場無關(guān)。僅供讀者參考,并請自行核實相關(guān)內(nèi)容。
|
