前言:
随着时代的发展,开源技术运用的越来越广泛。在Synopsys的《开源安全和风险分析报告》(2023年)报告中,分析了1703个代码库样本,其中96%包含开源代码。据中国信通院《全球开源生态研究报告》(2022年)中统计,得益于开源技术的发展和广泛应用,开源软件为企业带来超过8%的成本节省。但新兴技术总是一把双刃剑,开源技术给各企业带来便利的同时,也带来了巨大的安全漏洞和合规风险。针对开源技术带来的安全漏洞和合规风险进行治理,已然成为了许多企业亟须解决的工作。本文就本人做开源治理的一些落地实践做一些简单分享和总结。
一、什么开源技术
《关于规范金融业开源技术应用与发展的意见》中定义,开源技术是指从代码托管平台、技术社区、开源机构官方网站等渠道获取,或通过合作研发、商业采购等方式引入的开源代码、开源组件、开源软件和基于开源技术的云服务等。
二、软件开发和开源技术
现代软件开发可以参考传统产品生产,传统产品是由原材料制作成中间组件半成品,然后再将中间组件半成品组装成完整的产品,即可做产品交付。而现代软件开发也是类似,开发者完成软件设计后,选型各种开源组件,再使用自己的代码将各个开源组件加工粘合到一起,形成各个软件模块,然后开发者团队再将各个软件模块通过各种协议组装到一起,形成最终的软件系统或平台。这一过程,可以称之为软件供应链。软件供应链带来的问题不仅包括开源组件问题,其中还有数据安全风险、接口漏洞、系统安全等等,但本文仅限于讨论其中的开源组件安全问题和治理实践分享。
三、开源治理框架
正所谓,理论是实践的基础,在实践前,首先得有一个理论框架作为基础。
中国信通院早些时间已经开始了开源治理的探索,在《开源软件治理能力评价方法 第3部分:成熟度模型》(还没正式发布)中,提出了开源软件治理能力成熟度模型框架,供以我们后续的工作提供了理论支撑。
开源软件治理能力成熟度模型
四、开源治理实践
最开始做这个事,倒不是什么政策要求,比如《“十四五”软件和信息技术服务业发展规划》中强化安全服务保障中要求的提升开源代码、第三方代码使用的安全风险防控能力,也不是刚刚提到的《关于规范金融业开源技术应用与发展的意见》使用开源技术时,应遵循“安全可控、合规使用、问题导向、开放创新”等原则去做这个事情。
做这个事情只是领导有想法,想从根源去减少应用漏洞的产生,类似SDL的安全左移思想,便有了开源治理(当时我们内部还没叫开源治理)的这个事情。
如果你是准备学习网络安全或者正在学习,下面这些你应该能用得上:
①网络安全学习路线
②20份渗透测试电子书
③安全攻防357页笔记
④50份安全攻防面试指南
⑤安全红队渗透工具包
⑥网络安全必备书籍
⑦100个漏洞实战案例
⑧安全大厂内部视频资源
⑨历年CTF夺旗赛题解析😝有需要的小伙伴,可以点击下方链接免费领取或者V扫描下方二维码免费领取🆓
小白成长路线图
许多入门者转行网络安全,或者是有一定基础想进一步深化学习,却发现不知从何下手。接下来我将从成长路线开始一步步带大家揭开网安的神秘面纱。
1.成长路线图
共可以分为:
一、基础阶段
二、渗透阶段
三、安全管理
四、提升阶段
同时每个成长路线对应的板块都有配套的视频提供:
视频配套资料&国内外网安书籍、文档
当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料
SRC技术文档汇总
还有大家最喜欢的黑客技术、
绿盟护网行动
网络安全源码合集+工具包
网络安全面试题
最后就是大家最关心的网络安全面试题板块
所有资料共87.9G,朋友们如果有需要全套《网络安全入门+进阶学习资源包》,可以扫描下方CSDN官方合作二维码免费领取哦~
扫一扫
118
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
