企业使用开源软件的风险防控与建议

近几年来，由于开源技术的开放共享、易于获得、迭代质量高等特性，开源软件应用受到了各界的广泛青睐与追捧，成为软件开发与应用的主流趋势。开源软件在给全世界的开发者和用户带来便利的同时，也带来了包括技术风险、法律风险在内的诸多挑战。2023年软件供应链攻击的次数是2019-2022年总和的两倍。Sonatype在2023 年记录了245,032个恶意软件包。其实，每八次的开源下载中就存在一次已知且可避免的风险。



漏洞仍然可以预防

据统计，2023年其实可以避免21亿次有已知漏洞的OSS下载。据Sonatype分析四个主要生态系统的1176407个开源项目得出，只有11%的开源项目得到了积极维护，惯于使用未经安全验证的开源项目是造成软件开发风险的根本原因。
 
Sonatype CTO Brian Fox表示，维护员们工作都很尽责，企业也都尽可能地招聘人才来维护他们的重要资源库，几乎所有具有已知漏洞组件的下载都已得到修复。行业需要朝着正确的方向努力，业界及生态社区应该提供更优质的基础条件，帮助开发者能够使用到安全的开源软件。

企业的自我认知与现实存在脱节
 
在软件供应链攻击不断增加下的情况下，企业开发软件所感知到的安全性与现实之间持续存在脱节。一些企业认为他们的软件供应链仍在掌控之下，67%的受访者相信他们的应用程序不依赖已知的易受攻击的库。但有近10%的受访者称，他们的企业在过去12个月以来因使用开源软件而出现安全漏洞。
 
大多数企业都缺乏及时发现并处置漏洞的能力。报告发现，39%的企业在一到七天内发现漏洞；29%的企业这需要一周以上的时间，28%的企业可以将时间缩短到一天之内；除此之外，36.2%的受访者需要一周以上的时间来修复漏洞。

开发人员对推动行业进步发挥关键作用
 
在重要软件安全方面，持续维护开源项目将会优于同行。相比维护较少的库，持续维护的项目往往更有优势：比SAST高出5.9倍；签名版本的性能提高5.4倍；依赖关系更新工具的性能提高5.1倍；代码审查速度提高3.6倍；分支机构保护能力提高3.8倍。
 
优化制度管理可节省时间、资金并降低安全风险。与优化升级相结合，减少25%误报，可在解决组件升级和高风险漏洞方面节省两倍的时间。

提高效率和安全态势
 
随着软件供应链的漏洞不断增多，开发人员正在采取措施提高效率和安全态势。在不到一年的时间里，软件开发中AI/ML组件的使用明显激增，因为该技术可以帮助软件开发人员大幅提升效率，同时AI/ML组件可以快速集成到软件开发工作流程中。
 
  负责产品创新的副总裁Stephen MaGill表示：“AI/ML工具成千上万，选择合适的工具真的很难，而选择这些工具的重担落在了数据科学家身上。”他同时表示，AI/ML也带来了大量新的安全许可问题，更不用说实施付费服务的巨额成本了。由于LLM模型大部分是开源的，所以与开源相关的所有安全顾虑也将对AI产生影响。