随着互联网技术的不断发展与应用,人们的生活越来越离不开软件。各种各样的软件充斥着人们生活的各个领域。
但在享受便利的同时,我们必须认识到,其实软件里也暗藏着许多信息安全隐患。
而很多安全隐患事件的罪魁祸首,叫软件供应链攻击。
软件供应链的四大风险
对于企业来说,当前软件供应链起码面临四类风险。
· 长期支持风险。
企业软件所间接依赖的一些第三方开源零部件,并没有商业体在背后提供质量承诺和长期支持。
开源项目因创始人退出或者社区活跃度低而不再维护、半途而废的,不在小数。
产生维护支持需求时,企业自己不得不安排人手去处理该部分代码,先不说有没有这个意愿,企业自己的IT工程师是否有这个能力也难说。
· 知识产权风险。
开源软件的知识产权机制,反映在著佐权(Copyleft)和许可证(Permissive)。
后者约束了你的软件的分发传播需要满足的条件,前者则往往更进一步要求你用开源组件开发的软件本身的源代码必须沿用同样的开源条款,导致你的软件知识产权不得不公开。
国内软件企业在使用开源、贡献开源的过程中规则意识普遍薄弱,存在错误混用不兼容的许可证,违反许可证规定二次发布等问题,带来更为复杂的知识产权问题和法律合规风险。
· 信息安全风险。
在开发人员写第一行代码前,一个系统可能就注定继承了一堆“安全债务”-部分取决于这个系统的设计者、开发者选择采用什么第三方组件,部分取决于这些第三方组件的开发者又选择依赖于什么别的组件。
反正安全风险是传递的,