开源软件面临三大风险新思科技发布业内首个《开源生态白皮书》

开源技术极大地推动了云计算、大数据、人工智能等技术领域的快速发展。在可复用的开源组件的基础上，企业只需自主开发部分代码即可快速构建自己的应用。虽然效率提升和成本节约有目共睹，但新出现的安全风险和法律问题也不容忽视，开源软件的治理迫在眉睫。

开源软件面临三大风险

Synopsys 在《2020 开源安全与风险分析》报告（OSSRA）中指出，开源组件已经爆发，99% 的应用软件都包含至少一个开源组件。但是，很多企业在使用开源时缺乏选择标准，缺乏有效的跟踪和管理，对安全漏洞的影响认识不足。以下几组数据值得考虑：

首先，75% 的代码库包含安全漏洞，49% 的代码库包含高危安全漏洞。所谓高风险有两层含义，一是发生的概率比较高，二是一旦发生后果比较严重。

其次，33% 的代码库包含未经许可的许可，67% 包含许可冲突。虽然开源在广义上被认为是免费的，但仍然需要合规使用并履行相关义务和责任。

第三易语言程序特征码，82% 的代码库包含至少过期四年的开源组件，88% 的代码库在过去两年内没有任何开源组件更新。这意味着企业使用不再活动的组件。漏洞发生后，很可能没有代码贡献者来维护，但企业需要重构这部分代码，会带来巨大的维护成本和产品风险。

新思科技软件质量与安全部销售总监兼管理顾问薛志远认为，安全漏洞、许可证违规和运维风险实际上是当代企业使用开源软件面临的三大风险，充分证明开源source 软件治理的重要性。

新思科技软件质量与安全部销售总监兼管理顾问薛志远

新思科技助力中国信通院发布业界首部《开源生态白皮书》

中国信息通信研究院发现，开源治理的最大难点是开源软件数量非常多，组织和整体管理难度很大。而企业在选择开源软件时，安全性成为首要考虑因素。

为规范和提升开源治理工具服务商的能力，同时帮助用户企业购买工具以供参考，中国信通院牵头起草了《开源治理工具能力要求第1部分：开源》 《构成与安全分析》2019年下半年。该标准是国内首个开源构成与合规安全分析的开源治理工具标准。就在日前，信息通信研究院发布了业界首个《开源生态白皮书（2020）》）。

据了解，新思科技对这份白皮书也做出了一定的贡献，主要包括：参与对20个国际开源项目的扫描，通过多因素检测技术为报告提供全面、高精度的识别结果；黑鸭子为开源项目提供深度组件检测能力，让行业和用户意识到开源组件的合规性和安全风险远高于想象；通过新思科技的全球视野和企业级实践，帮助CAICT协助合作单位快速高效引领行业标准，使OSCAR成为中国开源行业的风向标。

Black Duck 开源组件检测率 95%

据薛志远介绍，黑鸭是一种帮助企业管理开源全软件开发生命周期（SDLC）的解决方案，可以帮助企业处于开发和运营的各个阶段。这个业务起源于黑鸭子，2017年被Synopsys收购。该公司是开源治理工具的先驱，成立于2002年，甚至早于全球最早从事开源治理的谷歌。收购黑鸭子极大地扩展了新思科技的扫描能力，尤其是在增强漏洞库、增强开源合规指南、企业私有库、开源同源以及相关自动化事件等管理接口方面。连续多年被 Gartner 评为应用安全领域的全球市场领导者。

也正是基于在开源治理方面的领先地位，新思科技成为少数几家参与ICT学院标准制定首批合作的外资企业之一，并通过了开源本地化解决方案的评估。高分的工具。在本次评测中，Black Duck 开源组件的检测率达到了 95%。

黑鸭有什么特点？为什么能达到高检出率？据介绍，它可以提供端到端的开源风险管理解决方案易语言程序特征码，主要包括检测、保护、管理和监控能力。

此外，还有多因素检测。通过构建识别、签名识别、指纹识别、二进制识别四种识别技术，可以应对不同的使用场景和开源管理的需求。

国内开源治理进入高速发展期

在国际上，经过十多年的发展，开源治理已经形成了完整的技术、方法论和实践。在国内，起步较晚，近两年实现了爆发式增长。信息安全事件、知识产权纠纷和国家间的贸易冲突，这三个因素让开源治理变得越来越重要。

企业实施开源治理的成熟度通常可以分为三个层次：一是项目驱动，与具体项目相关；另一个是增强型，企业内部有专门的人员或部门和流程来管理开源软件；第三，先进的开源管理已融入企业软件开发生命周期，实现了自动化管理，建立了完整的开源管理策略。

那么，国内企业实施开源治理经历了哪些阶段，发展现状如何？

薛志远表示，开源治理最初是由大型企业进行的，通常是在业务受到挑战时，或者有出口贸易业务需要对源代码进行审计。

后来，随着大型互联网公司尝试出海，推动了第二波开源治理的发展。在这一趋势之后，近年来，汽车、电信、手机等领域的许多大型企业，因为他们的设备变得越来越多，开始尝试使用开源治理标准来统一管理供应链。更复杂；此外，一些中小型企业自身的开源意识和管理能力并不多，但受益于终端客户的影响和要求，他们也开始制定相应的开源管理策略，并开始使用相关的工具。

从今年开始，在政府的领导下，包括银行在内的众多机构开始参与开源治理工作。“目前已经建立了开源管理的标准成熟度模型，如果国家标准或行业标准在政府的引导下形成，开源管理必将实现可持续发展。”薛志远说。