从OSPO 来思考开源治理问题

最新推荐文章于 2024-04-30 20:09:14 发布

软件供应链安全

最新推荐文章于 2024-04-30 20:09:14 发布

阅读量3.2k

点赞数 2

分类专栏：软件供应链软件安全文章标签：安全软件成分分析源代码扫描软件安全开源治理

本文链接：https://blog.csdn.net/gitchat/article/details/124386177

版权

9 篇文章 0 订阅

订阅专栏

6 篇文章 0 订阅

订阅专栏

当今许多最重要的业务突破，包括大数据、机器学习、云计算、物联网和流分析，都源于开源软件创新。

通过使用开源软件，企业可以避免从头开始构建所有东西，从而节省时间、金钱和精力，同时还可以从投资中获得更多创新。但越来越多的数据表明，来自开源软件的安全威胁越来越严重。

从国内相关政策来看，鼓励并规范开源技术的创新，促进开源社区的可持续发展，成为了我国科技发展的目标。

而不断完善的关于软件供应链安全、开源技术评估方向的国家标准、行业标准都体现了国家对开源治理工作的要求。既要求企业对内部的开源软件使用情况、依赖情况进行统计分析，又要求企业在遇到来自开源的威胁时快速反映，给予更有效的解决方案。

促使国家紧抓开源治理工作，其背后正是因为很多企业过多依赖开源技术，而没有尽早的对其进行管控，或者说是对开源文化的认识和开源意识不足引起的。而在落实开源治理工作时，SCA工具作为开源安全工具的关键，成为治理工作的必选项。

在国内对开源治理越来越重视的情况下，国外企业对开源治理的工作有哪些可以借鉴的经验呢？这不由得让人想到很多国外大型公司所提倡建立 OSPO （开源项目办公室）

OSPO ：开源项目办公室（Open Source Program Office），目的是帮助企业在开源软件的使用、支持、参与、开发等方面开展企业级的开源战略，同时也帮助企业了解开源软件的优势和潜在的威胁，以及思考如何平衡各方因素来满足公司的业务目标。

OSPO 的另一个关键角色就是涉及审计许可合规性，以确保企业满足开源软件的各种许可要求。包括：企业如何为开源社区做出贡献，或者将哪些内容释放回社区，以及评估开源技术如何为企业的业务带来价值。

在这里插入图片描述

从开源治理角度看，SCA（软件成分分析）工具是通过分析软件中包含的特定信息或特征来识别、管理、追踪的技术工具，是定位于开源治理三要素中开源安全工具。

OSPO更像是涵盖了开源治理三要素中：流程体系、人员配置、开源安全工具所有方面的一套解决方案。

在已经建立了OSPO的企业中，OSPO的专业人员帮助内部开发者了解建立SBOM的最佳方案，并且帮助建立SPDX（软件数据包交换）标准。并且OSPO积极与基金会组织联系，例如，2021年，谷歌的OSPO与OpenSSF合作推出的软件供应链完整性框架，「软件产品供应链级别」（SLSA）。

SLSA，用于确保整个软件供应链中的中间件的完整性。它受到Google内部BAB的启发，该谷歌过去8年已经使用，并且对于所有谷歌的生产工作负载是强制性的。SLSA的目标是提高产业，特别是开源软件的安全状态，以抵御最紧迫的完整性的威胁。」

而企业的OSPO与OpenSSF合作的重要性，在Log4j这种「核弹级」漏洞爆发之后越发凸显。OpenSSF扛起了修补Log4j漏洞重担，协助寻找并修补超过1万项开源软件的漏洞（Alpha-Omega计划）。

关于Alpha-Omega计划，也并不只是一个漏洞修复的项目，而是以Log4j这个漏洞为契机，来完善相应的安全技术和响应机制，通过基金会的力量将能力复制到所有相关企业，OSPO 将作为企业的「代言人」，尽快跟进这项计划实施并做出对软件供应链安全更有价值的机制。

相比于OSPO的职责，国内企业对开源治理工作的进行，如果不是国家政策和标准的推动，很可能只是增加对 SCA工具来确保企业自身的开源组件安全。但对于整个软件供应链来说，只靠工具来维护是远远不够的。

也许是不同于我国国内的市场环境和以国家政策为驱动力，国外企业或者国内大型企业与行业内基金会的合作来推动相应的标准或政策，是OSPO更适合在「国外土壤」生长的首要因素。

但也正是如此，相信在国内的环境下，企业也会有类似OSPO职能的组织来专门进行开源治理工作，协调企业内各方面资源，跨多部门合作。而SCA 工具集成在企业内部的研发平台、DevSecOps平台上，以自动化方式保障企业使用开源软件的安全合规，与组织密切配合。

如果说SCA工具是开源治理工作的「利剑」，由谁来持剑守护安全，又由谁来指挥开源治理这场「运动」，是企业下一步思考的问题了。