企业数字化转型中面临的开源供应链的挑战及应对措施

11月11日,由“科创中国”开源创新联合体指导,中国信息通信研究院、中国科协科技传播中心、“科创中国”开源创新联合体开源教育工作委员会等单位联合主办的“开源创新圆桌论坛(第一期)”在京成功举办。

 

上海安势信息技术有限公司技术市场总监王峰应邀发表了题为《企业数字化转型中面临的开源供应链的挑战及应对措施》的主题演讲。结合企业数字化转型的背景,王峰分享了当今开源软件供应链主要面临的三大挑战:开源软件安全、开源许可证合规与软件供应链安全。并分别从技术、流程和组织方面介绍了企业应如何应对这三大挑战。最后,王峰举例分析了我国在开源治理领域与美欧存在的差距,并表示在各方的开放协作下,中国开源产业一定会发展的越来越好。

 

 

 

1

 

开源与企业数字化转型

 

二十大报告明确规定了“加快发展数字经济,构建现代化基础设施体系”这一目标。对于企业,数字化转型是大势所趋。企业数字化转型主要包括三个方面:业务数字化、管理数字化和运营数字化。这其中涉及了云计算、大数据、人工智慧、物联网等数位技术,而这些又是与开源软件强相关的领域,开源软件在这些领域的使用平均占比高达70%以上。
 
我国企业和开发者也正逐步从使用开源向贡献与参与开源过渡,并呈现从高科技行业向传统行业蔓延的趋势。但同时有60%-80%的代码库存在许可证冲突的问题。企业应当开始重视在企业数字化转型中可能会面临的安全与合规问题。

 

 

2

 

软件供应链及我国企业在软件供应链中面临的挑战

 

软件供应链分为两类,一类是生产环节的供应链,另一类是开发过程的供应链。如将传统的汽车生产的供应链比作软件生产环节的供应链,任何一个环节引入的缺陷都将导致最终交付的产品中出现问题。对于开发过程中的供应链,从源代码经过CI/CD平台的集中构建变成apk、jar包这类依赖或者制品进行分发使用,中间有很多环节都会引入不同种类的攻击。
 
在混源开发成为当今主流的开发模式下,企业面临的开源软件风险巨大。开源软件将以不同的形式存在于产品中。

 

  • 引用整个开源组件

  • 引用开源组件中的部分文件

  • 引用开源组件中的部分代码片段

  • 对开源组件中的代码片段加以修改后引入

  • 编译时被引入的开源组件

  • 容器环境中的开源组件

 

企业需要清晰的了解产品中使用了哪些开源组件,来减少安全与法律合规风险。其次,对于拥有大量出口业务的企业,开源组件中加密算法的识别也是必不可少的。
 
针对出海企业,软件供应链带来的挑战体现在如下三个方面:
 

1

 

 

以log4j为代表的安全事件对于企业信息安全甚至国家安全都造成了严重的影响。美国白宫和国土安全部也因此召开了一系列的会议讨论开源软件的安全性,后续也颁布了相关指导意见,我们相信这些规范和指导意见势必对今后中国企业的出口造成一定影响。

2

 

 

软件开发同样需要遵守和履行软件许可证中规定的权利和义务。但是软件许可证有4大类2,000多种,需要专业的人才和工具进行治理,具体面临的风险点主要有如下三个方面:

 

  • 从社区、NOTICE file、LICENSE file 甚至文件头分析许可证信息
  • 结合分发场景、使用方式及许可证条款,提供动态许可证风险等级,便于及时识别高风险组件
  • 许可证兼容性分析
 
企业迫切需要掌握开源组件中使用的许可证信息,否则会使企业面临严重的法律合规风险。

3

 

 

 

SolarWinds等类似事件的发生也开始引起企业对软件供应链安全的重视,代码仓库、构建环境等等环节都可能作为薄弱点被恶意攻击。

 
总结以上三点,我国企业面临的软件供应链挑战主要有以下几个方面:
 
  • 企业思维模式和风险意识薄弱
  • 开源安全攻击方式和形式多样
  • 外部环境因素的变化,如地缘政治等
  • 法律合规面临的风险随着出口合规的要求而剧增

 

 

3

 

企业如何应对软件供应链中面临的挑战

 

针对我国企业在开源软件供应链面临的诸多挑战,企业应该从如下几个方面努力:

 

  1. 制定完善的开源治理战略
  2. 完善开源软件选型流程
  3. 运用新技术和框架,如SLSA,sigstore等规范研发流程
  4. 依靠专业的SCA工具输出标准的SBOM帮助企业进行开源合规治理

 

 

4

 

我国开源治理与欧美的差距及展望

 

“正视差距才能

今后的超越做准备”

我国在开源治理的发展较快但与美欧尚存较显著的差距。法律判例方面,美国从20多年前就已经有相关的判例,而我国是最近两三年才开始有一些案例。企业方面,重视程度不够,SCA工具的覆盖率较低,基本上只有大型头部企业建立了比较完善的开源治理体系。2,000多种许可证大部分都是来源于美欧,我国目前只有木兰系列的许可证得到OSI的认证。对于开源治理产品和工具的能力也需要大力提高,在国际权威测评Gartner和Forrester Wave的排名中,暂时没有中国公司的身影,而且就技术能力来说,我国的工具提供商与国际知名工具品牌还存在很大的差距,但这是一个积累的过程,我们相信未来可以超越。
 
 
不积跬步,无以至千里。安势信息很荣幸能够参与共建中国开源软件供应链安全事业!
 

 

安势信息会从提升工具能力、支持国标制定、加强行业合作三个方面努力。相信在大家的共同努力下,中国的开源产业必将蓬勃发展!

 

行业资讯

专业的开源安全与合规治理供应商