你有多了解你的代码？使用开源软件的四个最佳实践

由于我戴着首席信息安全官（CISO）的帽子，我花了很多时间思考网络安全威胁–我的首要关注点。对我来说，充分了解我的IT资产是很重要的。我有什么？它在哪里？谁拥有它？它存储、处理或传输什么数据？它是最新的和完全修补的吗？这些重要的问题必须得到正确的回答，以掌握和了解复杂的混合IT环境。

随着时间的推移，类似这样的问题需要应用于开源软件（OSS）。开放源码软件的使用多年来一直在上升，因为它提供了敏捷性和降低运营成本的能力，并利用了开放源码社区的协作性质。这种势头随着Covid-19的流行而加速，当时采用这种技术的速度加快，以满足迅速变化的市场需求。

在当代的应用开发中，开源软件是必不可少的，它也可能隐藏着漏洞和缺陷。针对软件供应链的重大黑客攻击事件强调了建立有效护栏以保护开放源码软件用户免受利用的关键需要。

绝大多数的代码库都包含开源。事实上，Revenera的审计服务团队在2020年扫描的文件中，有超过50%是开源组件。软件供应商和物联网及设备制造商必须清楚地了解他们所消费和分发的代码。这不仅可以保护你自己的组织，也可以保护你的客户。这里有四个最佳实践，帮助你回答关于你使用开源软件的问题。

(一)识别你的代码中的内容

如果你不知道你的代码、二进制文件和依赖关系中到底有什么，那么检测和减轻你代码库中的风险是非常困难的。软件组成分析（SCA）是一个过程，它提供了对你使用开源软件的这种洞察力。它跟踪组件，以支持许可证合规性倡议，保护知识产权（IP）免受威胁，防范漏洞并补救任何被发现的漏洞。

通过了解你的代码中的内容（以及你传递给用户的内容），你可以确认你从供应商那里得到的东西的安全性。在兼并和收购（M&A）事件中，它也可以为你所获得的材料的安全性提供保证。

(二)创建和维护一个软件材料清单

软件材料清单（SBOM）提供了一份软件内组件和依赖关系的清单，为软件供应链提供透明度。作为开源治理的重要工具，SBOM可以帮助确定一个组织在哪里以及如何受到软件漏洞的影响。美国国家电信和信息管理局（NTIA）提供了有关SBOM的有用资源，强调其好处包括减少合规性、许可和安全风险以及成本，其使用案例包括软件开发和资产、供应链和漏洞管理。

对SBOM标准的需求正在增长，其目的是加强软件的安全措施和保护用户。Charles Clancy博士和Rick Ledgett为《国会山报》写道，美国政府一直在与业界合作，推动SBOM标准倡议，以提高 "关键系统 "的安全性，并 “将坏代码从推动我们全球经济的软件中剔除”。此外，向政府销售的软件公司现在需要遵守关于改善国家网络安全的行政命令，其中规定供应商必须向购买者提供SBOM。

(三)保持最新

通过自动分析，可以实现对不断变化的代码库中的内容的及时更新。通过将持续监控作为软件开发生命周期（SDLC）的一部分，有可能防范风险、中断或延迟上市时间。安全措施的自动化可以帮助团队 “利用更广泛的信息安全社区的力量来识别和修复其代码库中的安全漏洞”，正如GitHub的《2020年Octoverse状态》报告中所说。

正如我们在大流行病要求迅速改变所有企业的运作方式时看到的那样，效率很重要。当资源和预算受到限制时，针对风险的持续预防护理应保持高度优先，以防止可能对组织的资源和声誉产生重大影响的并发症。

(四)建立一个开源使用的政策

根据我公司赞助的IDC的2020年DevOps调查，43%的受访者表示，到2022年，他们对开源软件的使用将被视为 “战略”。统一战线可以帮助打破那些可能使开源软件的使用具有风险的孤岛。开源审查委员会（OSRB）可以对开放源码软件的使用进行监督，为开放源码软件组件的批准和使用制定标准和政策，并提供培训以确保所有政策得到遵守。一个OSRB应该把整个组织的代表（包括安全、法律、工程、采购和产品管理）召集起来，对使用开放源码的需求进行全面审查。

开源软件是当今创新的一个重要部分，而且是无处不在的。解决那些关于安全使用这种快速发展的技术的重要问题可以提供巨大的机会，同时保护你的IT和你的整体企业战略。