来源:中国科协创新战略研究院《创新研究报告》
第25期(总第520期)2022-7-27
【按】俄乌冲突以来,俄罗斯在信息科技领域不断受到美欧围堵制裁,特别是关键开源代码平台Github根据美国出口管制和贸易法规,严格限制“俄罗斯获得其维持侵略性军事能力”所需的技术,让开源软件生态安全风险暴露无遗,“开源无国界”演变为“开源武器化”。我国是开源软件使用大国,需高度关注开源代码平台GitHub参与制裁引发的开源软件生态(或软件供应链)安全风险,并及早研究应对。
开源软件又称开放源代码软件,是一种源代码可以自由获取的软件程序。按照开源软件协议,用户或贡献者可以使用、修改、完善源代码,促进软件性能持续提升、功能不断拓展。目前,全球大型应用软件、操作系统、数据库等产品,基于开源的开发模式已成主流。据Forrester Research统计,全球80%以上的应用软件使用了开源组件,在能源、通信、金融、互联网等行业内这一比例甚至高达95%。据Synopsys监测,开源代码占代码总量的比例逐年提升3%左右,企业软件研发过程中日益倚重开源代码。
一、开源软件生态安全能力构成及中美差距
从产业实践看,一个国家的开源软件生态安全水平由软件源代码核心资源、开源代码托管平台、开源软件评价标准规范、开源软件识别检测工具、开源软件漏洞和后门等五方面能力共同决定。我国在这五个方面与美国存在较大差距。
软件源代码核心资源
软件源代码是开源生态的核心技术资源,围绕源代码开发应用,业界已形成了成熟的体系,包括开源基金会、开源项目、开源许可证、代码托管平台等。开源概念起源于西方,主流的开源基金会、企业、项目大多由美国控制,特别是前沿技术的开源代码大多出自美国。如人工智能领域的TensorFlow项目由Google开源,大数据领域的Spark项目由加州大学开源,云计算领域的OpenStack由NASA开源。我国开源生态起步较晚,代码贡献率总体不高,华为、腾讯、阿里、百度等企业贡献率远远落后微软、谷歌、IBM等美国企业。
开源代码托管平台
开源项目需要来自全球各地的人员共同参与推进,开源代码托管平台为开源项目的开发人员提供一个学习和交流的空间,为开源项目提供代码托管的网站,方便用户下载、分享和使用,是开源生态的重要组成部分。美国拥有Github、Gitlab等一批最受用户认可的开源代码托管平台,借此孵化培育通用核心软件,主导开源软件发展趋势,掌控开源软件生态规则。截至2021年底,Github拥有7300万用户,代码仓库数量超过1.28亿,前文所述前沿技术开源代码全部托管其上。我国最大的开源代码托管平台为Gitee,用户数量仅有600万,国际化水平和托管代码质量与Github差距巨大。
开源软件评价标准规范
长期以来,美国通过设立顶级开源基金会,主导和掌控开源软件各项标准规范。如Linux基金会推动建立《开源软件供应链规范》国际标准,为开源软件供应链建设提供信任基础,降低开源软件合规风险;OpenStack基金会致力于推动云计算建构和API的标准化;Apache基金会主要构建大数据开源项目核心标准。我国开源软件标准化工作刚刚起步,侧重安全标准规范,制定发布《软件代码开源成分与安全检测指南》等国内团体标准。在软件开发环节以适用国际标准为主,参与和影响国际标准制定的能力还有明显不足。
开源软件识别检测工具
开源软件识别检测工具是识别软件源代码使用开源组件和代码的技术工具,是政府进行软件安全审查、认定软件按照授权许可使用开源代码的必备工具。国外开源软件识别检测技术成熟,有一批全球知名的检测公司及工具产品,如美国黑鸭子(Black Duck)、法国CAST Highlight、瑞典Fossid等,用户遍布全球且占据我国大部分市场份额。国内开源软件识别检测工具从2019年开始出现,产品有奇安信的开源卫士、北大软件的Hobot等。相比国外工具,国内工具的扫描原理、知识库覆盖范围存在短板,对组件分析、物料清单的探查不够,识别出的开源成分、许可证风险精度不够,监测结果差别较大,难以采信。
开源软件漏洞和后门
近年来,开源软件漏洞频出,成为网络安全的重大风险点。其中,2020年新增漏洞数量3426,是2015年的5倍。Apache基金会下的Log4j开源项目、Spring开源框架漏洞,都引发了整个软件行业的地震。美国掌控了开源软件漏洞信息的发布权,通过操纵后门,控制漏洞修复进度,可以实现对软件供应链上下游的攻击。目前,全球范围内有417万软件都使用了Log4j组件,尤以我国数量最多,缺乏漏洞信息跟踪能力和修复能力,将长期使我国软件产业链处于“裸奔”状态。
二、具体应对举措和建议
启动开源软件高校行和定向培养计划
以软件人才培养为抓手,提高我国在开源软件中的贡献率。引导学校在日常教学、课程设置和社会实践中引入国内成熟的开源软件。鼓励学生加入开源社区,积极参与开源软件开发。鼓励互联网企业与高校联合,培育基础性、创新性、有特色的开源软件,形成可推广可复制的校企合作机制。对优质开源软件项目和开源软件杰出贡献人才进行资助奖励。将我能控制和影响授权协议的开源软件纳入国产化采购目录。
探索实施国内代码托管平台专项扶持计划
高标准建设国内开源代码托管平台,提升平台的稳定性和安全性,重点聚集开发者、开源社区、开源项目等重要资源。鼓励国内头部企业捐赠优质开源项目。吸引国内开发者从海外代码托管平台“回流”,鼓励开发者将代码写在中国大地上,打造国际一流的代码备份基础设施。依托“一带一路”对外输出开源生态,支持多边软件提升安全信任度。建设各大区域本土化开源代码社区板块,如设立“中非板块”提升非洲本土软件开发能力。通过培训输出我国软件行业能力,指导国外软件开发公司孵化。
启动开源软件开发和安全国标工程
统筹推进开源软件评价、应用、管理、安全等标准化工作,构建开源软件标准体系。围绕原生性、安全性、知识产权合规性、质量、商业与生态等维度建立开源软件综合性评价规则,加快制定开源软件安全指南。积极开展标准宣贯培训,提升相关责任主体开源软件开发和运维意识,加快推进标准落实适用。
设置开源软件安全检测工具研发攻关专项任务
采用“揭榜挂帅”方式加大对检测工具开发的支持力度,重点攻关突破代码库、指纹库、组件库等基础资源库,完善开源软件安全检测、代码质量评估、许可证风险分析等功能。推动关键基础设施运营者建立“软件物流清单”机制,形成可反映软件关键代码构成和开源供应链条的物料清单,做好风险把控。
启动国家级开源软件漏洞库和应急管理平台建设工程
开展威胁情报态势感知和漏洞攻防演练,做好开源软件的补丁升级和安全保障工作。鼓励和扶持开源软件漏洞的开放测试环境,发布奖励计划吸引社会力量进行众测。建立开源软件项目安全测试评价机制,支持第三方机构提升安全测试能力,针对源代码、运行中的软件系统,进行安全漏洞、代码缺陷、后门通道和许可证的测试和评估。
文章来源:中国科协创新战略研究院科研项目“世界科技经济社会发展战略研判与重大政策调整跟踪——聚焦新兴技术发展战略与政策”
作者:裴瑞敏1、隆云滔1、施云燕2、武虹2、张明妍2
1 中国科学院科技战略咨询研究院
2 中国科协创新战略研究院
责任编辑:黄诗愉
感谢您的支持与关注,欢迎赐稿交流
投稿邮箱:nais-research@cnais.org.cn
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。