直播回放 | 周幸：开源治理实践如何实现自动化和智能化落地

直播回放 | 周幸：开源治理实践如何实现自动化和智能化落地

“网安强中强”2022（第二届）数字安全创新实践直播大赛自2022年4月18日起正式启动。悬镜安全技术合伙人周幸接受了主办方安在的特邀，于4月19日做客直播间，以“开源治理实践如何实现自动化和智能化落地”为主题，分享了悬镜在开源治理方面的实践经验以及成熟的落地解决方案，在直播间和用户交流群中引起了热烈的讨论。以下为直播分享实录。

 

一、开源安全背景和现状

首先，众所周知，现在的企业正大量使用开源组件。从最初的瀑布式开发模式到敏捷开发模式，再到DevOps，开发模式的转变使得软件迭代和发布的速度变得越来越快。在这个过程中，除了自研代码，还引入了大量的开源组件。Gartner的报告显示，99%的企业在研发过程中都使用了开源组件。

其次，开源安全漏洞频发。比如去年的Log4j2事件和今年的Spring事件，这些主流的开源组件或框架，这些年来爆发漏洞的频率是越来越高，而且波及的范围也是越来越大。国家互联网应急中心的报告也显示，近六年来整个开源组件生态的漏洞数在逐年增加。

第三，开源组件一般会带有开源协议，所以会存在开源知识产权的风险。去年在国内就发生了几起关于开源组件和开源软件的知识产权纠纷事件。目前国家越来越重视自主创新和自主研发能力，强调自主知识产权。

第四，开源相关法律和政策相继出台。去年，开源首次被列入国家“十四五”规划和2035年远景目标纲要。在金融行业，五部门联合发文，出台了《关于规范金融业开源技术应用与发展的意见》。可以陆续看到在国家层面，在垂直行业内部，开始慢慢强调开源治理的规范性。

在这样的安全背景下，我把目前面临的安全现状总结为“四个不”。

第一个是“理不清”。企业不清楚在系统中使用了多少开源软件和开源组件。目前很多企业的现状是，在每一次快速迭代和快速发布过程中，都会引入一部分开源组件或者开源软件，但是由于团队多、涉及的业务范围广，导致无法清楚地知道具体使用了哪些。

第二个是“看不见”。企业在使用开源组件和开源软件的过程中，不知道它们中有的已产生过安全漏洞和知识产权风险。根据我的经验，很多企业用了一些非常老的组件和软件，之前爆发过很多安全漏洞，但没有及时去更新，所以对于这些已知漏洞的风险隐患，企业无法获悉。

第三个是“找不到”。企业在开源组件和开源软件出现漏洞的时候，无法快速地定位受影响的组件以及评估影响的范围。以去年的Log4j2事件和今年的Spring事件为例，当出现漏洞的时候，大部分人的第一反应往往是希望能够快速地找到受影响的组件，第二步才是设法进行治理。

第四个是“治不了”。当企业明确漏洞影响的范围以及受影响的组件并定位到具体项目，这时就需要进行相关治理工作，对组件进行相应的评估和修复。很多企业相对比较缺少这一方面的专业安全知识。

二、开源治理痛点