开源30问|中国信通院开源系列解读：开源风险有哪些？企业如何建立安全保障机制？ | 最新快讯

（原标题：开源30问|中国信通院开源系列解读：开源风险有哪些？企业如何建立安全保障机制？）

近年来，开源代码安全事件频发，对于软件产品稳定运行、用户数据保护乃至国家安全造成重大威胁，开源代码安全受到业内高度重视。由于源代码公开，开源代码资产直接暴露在互联网，相关漏洞容易被黑客读取，降低黑客攻击门槛导致代码安全性受到挑战;开源合规治理复杂性较高，未按照开源许可证条款使用开源软件可造成侵权和被迫开源的风险;企业开源代码安全管理能力不足导致软件产品不能稳定使用。

一、开源安全风险

开源面临复杂安全问题。因开源代码依赖关系复杂、企业对开源代码安全性认识不足、管控力度不够，开源代码面临安全性、合规性和稳定性三类安全风险。

开源代码自身存在的安全隐患被黑客利用攻击导致一系列安全事件。根据奇安信发布的《2023中国软件供应链安全分析报告》中分析，2022年新增开源漏洞为7682个，向各被测开源项目的维护者反馈1484个安全问题，安全问题的修复率仅为36.9%。此类由于开源代码暴露的安全问题极大程度影响软件产品正常稳定运行。

因软件产品未遵循开源许可证相关条款规定可能会造成版权侵权、专利侵权、商标侵权和许可证冲突等四类合规性风险。根据奇安信报告，在2631个被分析的国内企业软件项目中，存在超危许可协议的项目占比5.4%;存在高危许可协议的项目占比11.4%。含超危和高危许可协议的项目合计占比16.8%。

对开源的管理能力不足可能导致软件产品面临能否稳定使用风险。另外当前软件产品的软件物料清单构建体系尚不完善，根据2022《DevSecOps行业洞察报告》，仅有3%的企业为应用程序中使用的开源组件保留了完整的软件物料清单，对于软件组成统一管理程度的差异化较大。

二、开源安全产业洞察

选择主流开源代码编码语言已成为共识。根据中国信通院调研数据显示，金融行业使用Java语言的占比较高，汽车、能源等行业对C和C++的语言应用较广泛，新兴企业如互联网行业则对近几年增长速度较快的Go和rust语言接受度较高。

高危开源漏洞在用户中频繁出现。根据中国信通院调研数据显示，CVSS评分超过4分的漏洞在行业用户使用的软件产品中频繁出现，无中危及以上漏洞占比仅为5%。出现中危及以上漏洞时需要尽快进行漏洞排查和修复，避免出现漏洞引起的频繁攻击会导致大量核心信息泄露等安全问题。

　　图 开源代码安全质量模块调研情况

规范使用开源许可证和使用书写规范的开源许可证占比较高。行业用户软件产品中多采用Open Source Initiative(OSI)认证的开源许可证。使用编写规范的开源许可证主要存在两方面优势：一方面因其使用量较大，可以准确对此类开源许可证可能造成的风险进行预判，另一方面经过业内开源合规权威组织的认可，可以有效降低企业的代码维护和管理成本。

　　图 开源知识产权模块调研达标率

开源物料清单的建立在金融行业中起步较早，大部分企业具备基本的风险管理工具和合规风险管理手段。部分企业已采购软件成分分析(SCA)工具，且建立SBOM(软件物料清单)的生成与管理机制。

三、如何应对开源安全风险

开源的使用往往伴随着安全风险，因开源代码依赖关系复杂、企业对开源代码安全性认识不足、管控力度不够，开源代码面临安全性、合规性和稳定性三类安全风险。了解这些开源风险可以更好的帮助企业认知和避免类似的事件发生。

(一)开源代码安全性风险

针对开源代码安全性风险，企业在使用开源代码时应当加强开源安全漏洞管理能力：

1.通过制定开源安全漏洞识别修复措施，建立漏洞识别和修复策略;

2.对识别的漏洞分级分类并修复，尤其对中危及以上漏洞重点关注;

3.及时更新开源代码新版本。

(二)开源代码合规性风险

为应对开源代码合规性风险，企业应当根据业务实际应用情况加强开源代码许可证管理能力：

1.企业应首先明确开源代码的用途，根据实际引用场景选用开源许可证;

2.在引入开源代码时需要保障开源许可证条款的完整性和防篡改;

3.根据选用的开源许可证，企业应当关注开源许可证的互惠性，根据互惠性的强弱，选用不同的隔离方式引入。

(三)开源代码稳定性风险

企业需根据其自身特点，定制合适的开源代码管理制度，构建开源代码全生命周期管理体系：

1. 传统行业可自上而下进行开源安全管理，先在企业层面组建开源代码安全治理团队，制定相关规章制度，搭建开源代码安全治理基础设施，在企业内部实行统一的开源代码安全管理;

2. 软件行业和中小企业可自下而上进行开源安全管理，即先在项目组或围绕软件产品梳理开源代码安全风险，从落地层面率先进行实践;

3. 企业需要将使用的全部开源代码梳理成开源代码物料清单，并保障软件产品包含的开源代码物料清单具备可追溯性。

三、中国信通院积极推进开源安全相关工作

(一)标准制定

中国信通院针对开源安全痛点问题，于2022年10月牵头立项GB/T 43848—2024 《网络安全技术 软件产品开源代码安全评价方法》，于2024年4月25日正式发布。开源安全国家标准评价要素涵盖开源代码来源、开源代码安全质量、开源代码知识产权和开源代码管理。

　　图 开源安全国标框架

(二)测试评估

标准编制过程中，已开展包括4轮共计20家企业21个软件产品在内的试点验证，对于标准的落地提供理论依据，帮助标准最大程度做到科学性、易用性和公平性。基于前期的标准试点验证，中国信通院依据国家标准，开展开源安全产品级符合性测试，对相关软件产品开源代码安全状况进行技术测试和文档审查，包括：

1. 开源代码来源：基于标准针对软件产品开源代码来源进行技术测试，包括开源代码规模占比、开源代码编码语言等8个测试项;

2. 开源代码安全质量：基于标准针对软件产品开源代码安全质量进行技术测试，包括开源代码漏洞率、开源代码漏洞严重性等4个测试项;

3. 开源代码知识产权：基于标准针对软件产品开源代码知识产权进行技术测试，包括开源许可证遵从度、开源许可证规范性等6个测试项;

4.开源代码管理：基于标准针对软件产品开源代码管理进行文档审核，包括开源代码管理团队、开源代码物料清单等4个测试项。

该符合性测试从即日起启动，欢迎咨询联系人!

(三)赋能服务

中国信通院集合自身在开源领域多年的实战经验，推出“源起无垠”|城市/园区/企业三层开源建设赋能服务，创建符合监管要求并推动开源创新战略的综合管理框架。其中“开源安全赋能包”内容如下所示，更多详细内容请通过联系人获取《中国信通院城市、园区、企业三层开源建设赋能服务清单》。

中国信通院围绕《网络安全技术 软件产品开源代码安全评价方法》国家标准，为金融、汽车、运营商、能源、软件、云服务等重点行业企业提供涵盖培训、咨询、诊断、数据、评估和保险的全套筑源计划，帮助企业整体提升开源安全风险防范意识和水平。

中国信通院开源安全筑源计划：

培训筑源：依托完善的开源安全课程体系，为企业认清当前开源安全风险态势和抵御能力提供一幅清晰图景，帮助企业迅速上手实战。

咨询筑源：聚焦于企业开源安全痛点问题，在开源软件选型、开源风险管理制度制定等方面为企业提供针对性能力提升的“管家式服务”。

诊断筑源：通过访谈、检查、测试等形式深入分析企业开源安全管理现状，梳理企业开源安全管理过程中的痛点问题，并提供针对性的提升建议，形成企业开源安全风险管理分析报告。

数据筑源：根据企业的实际业务需求，共享业内对于相同开源安全漏洞的解决方案作为参考，并为企业开源软件提供“定制化”开源软件安全性分析服务，形成开源风险行业解决方案全景图、企业开源软件安全选型报告。

评估筑源：通过SOSS开源安全产品级评估，以评估验成效，以分析促提升，通过标准评估服务帮助企业查漏补缺，不断完善自身开源安全管理能力，并树立行业开源安全标杆，有效推动产业开源应用水平提升。

保险筑源：开源软件安全综合保险作为跨行业融合的创先险种，聚合产业各方力量，提供事前、事中、事后关键环节的风险保障，通过损失补偿帮助企业转移服务中断、数据丢失、信息泄露、知识产权侵权、专家咨询等残余风险，减少企业应用开源的后顾之忧，全面提升企业安全风险应对能力。

　　图 开源安全赋能计划