企业数字化转型中面临的开源供应链的挑战及应对措施
11月11日,由“科创中国”开源创新联合体指导,中国信息通信研究院、中国科协科技传播中心、“科创中国”开源创新联合体开源教育工作委员会等单位联合主办的“开源创新圆桌论坛(第一期)”在京成功举办。
上海安势信息技术有限公司技术市场总监王峰应邀发表了题为《企业数字化转型中面临的开源供应链的挑战及应对措施》的主题演讲。结合企业数字化转型的背景,王峰分享了当今开源软件供应链主要面临的三大挑战:开源软件安全、开源许可证合规与软件供应链安全。并分别从技术、流程和组织方面介绍了企业应如何应对这三大挑战。最后,王峰举例分析了我国在开源治理领域与美欧存在的差距,并表示在各方的开放协作下,中国开源产业一定会发展的越来越好。
1
开源与企业数字化转型
2
软件供应链及我国企业在软件供应链中面临的挑战
-
引用整个开源组件
-
引用开源组件中的部分文件
-
引用开源组件中的部分代码片段
-
对开源组件中的代码片段加以修改后引入
-
编译时被引入的开源组件
-
容器环境中的开源组件
1
以log4j为代表的安全事件对于企业信息安全甚至国家安全都造成了严重的影响。美国白宫和国土安全部也因此召开了一系列的会议讨论开源软件的安全性,后续也颁布了相关指导意见,我们相信这些规范和指导意见势必对今后中国企业的出口造成一定影响。
2
软件开发同样需要遵守和履行软件许可证中规定的权利和义务。但是软件许可证有4大类2,000多种,需要专业的人才和工具进行治理,具体面临的风险点主要有如下三个方面:
-
从社区、NOTICE file、LICENSE file 甚至文件头分析许可证信息 -
结合分发场景、使用方式及许可证条款,提供动态许可证风险等级,便于及时识别高风险组件 -
许可证兼容性分析
3
SolarWinds等类似事件的发生也开始引起企业对软件供应链安全的重视,代码仓库、构建环境等等环节都可能作为薄弱点被恶意攻击。
-
企业思维模式和风险意识薄弱 -
开源安全攻击方式和形式多样 -
外部环境因素的变化,如地缘政治等 -
法律合规面临的风险随着出口合规的要求而剧增
3
企业如何应对软件供应链中面临的挑战
针对我国企业在开源软件供应链面临的诸多挑战,企业应该从如下几个方面努力:
- 制定完善的开源治理战略
- 完善开源软件选型流程
- 运用新技术和框架,如SLSA,sigstore等规范研发流程
- 依靠专业的SCA工具输出标准的SBOM帮助企业进行开源合规治理
4
我国开源治理与欧美的差距及展望
“正视差距才能为
今后的超越做准备”
