开源软件供应链的特点和存在的安全问题,计算机应用技术论文.docx

《开源软件供应链的特点和存在的安全问题,计算机应用技术论文.docx》由会员分享，可在线阅读，更多相关《开源软件供应链的特点和存在的安全问题,计算机应用技术论文.docx（13页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、开源软件供应链的特点和存在的安全问题,计算机应用技术论文摘 要： 当下，网络产品中大量应用了开源软件，开源已成为软件供给链中的重要一环，其安全性和可控性问题日渐突出.西方国家对开源组织及开源项目政策上的主导优势，对我们国家相应网络产品供给链安全产生了极大影响.从网络安全工作出发，结合软件开源代码成分分析结果，对开源软件供给链存在的安全风险进行了研究和分析，提出完善开源软件供给链安全管理的建议. 本文关键词语 : 安全风险;网络安全;开源软件;供给链;网络产品; Abstract： Currently,open source software is widely used in network

2、products and has become an important part of the software supply chain.However,its security and controllability issues have become increasingly prominent. Western countries dominant advantages in open source organizations and open source project policies have a great impact on the security of china

3、s corresponding network product supply chains.Starting from the cybersecurity,this article combines the analysis results of the open source software code components to study and analyze the security risks in the open source software supply chain,and proposes suggestions for improving the safety mana

4、gement of open source software supply chain. Keyword： security risk; cybersecurity; open source software; supply chain; network product; 近年来，随着我们国家互联网的蓬勃发展，电子产品和网络设备逐步深切进入人民群众的日常生活，成千上万的网络产品和服务构建起了我们日常使用的通信网络和信息系统为保障国家网络安全，2021年6月1日(中国网络安全法正式施行，第31条提出，通信、能源、交通、水利、金融、公共服务等重要行业和领域的信息系统一旦遭到毁坏、丧失功能或者发生数

5、据泄露，将会严重危害国家安全、国计民生和社会公共利益在这里前提下，重点行业信息系统使用的产品和服务面临的网络安全问题，应引起我们足够的重视为了防止信息系统遭遭到不法损害，防备可能存在的网络安全风险，以网络产品和服务供给链安全作为切入点，着眼于加强供给链各环节的安全保障能力，提升网络产品和服务供给链安全管理水平，成为当前最有效、最务实的安全策略 网络产品和服务供给链包括了产品的核心部件、软件代码及生产制造运维经过中牵涉的相关环节，华而不实，软件是供给链极其重要的组成部分近年来，开源软件以其开放、分享、便捷等特点迅猛发展，逐步成为信息系统软件开发的基础作为软件供给链的重要一环，开源甚至构成了一种行

6、业生态，开源软件在网络产品供给链安全中的重要位置也日益显现 1 、开源软件应用现在状况 随着开源软件在软件研发经过中的应用范围不断扩大，开源正进入生活的方方面面，包括我们日常使用的手机、平板等电子产品，以及大型计算机、服务器等组成的系统中都有开源软件的身影开源软件的重要性主要具体表现出在：一方面市场上包含开源组件的软件逐步增加，据美国弗雷斯特研究公司Forrester Research统计，全球80%以上的应用软件使用了开源组件1，在能源、通信、金融、互联网等行业内这一比例甚至高达95%；另一方面软件中开源代码的比例不断升高，2022年新思科技公司Synopsys通过对全球1 200个商业代码

7、库的分析发现，在包含开源成分的软件中，开源代码占代码总量的平均比例由2021年的57%提高到了60%2从不同行业领域来看，移动互联网行业这一比例为74%，网络安全行业为70%，能源、金融、物联网等行业开源代码比例均在平均值60%以上这些行业均是关系国计民生、公共利益的重点行业 当前，国际上应用的开源代码大都把握在知名开源组织手中这些开源组织主要包括： 1)Apache基金会 Apache基金会成立于1999年，注册地位于美国特拉华州基金会主要由个人捐赠和企业赞助商赞助构成，主要任务是为其管理的开源软件提供持续的技术支持Apache基金会当前收录了包括HTTP Server,Hadoop,Tom

8、cat等知名项目在内的350多个开源项目，这些开源项目推动了Web服务和大数据技术的快速发展作为世界最大的开源组织，Apache基金会管理的代码到达了2亿多行 2)Linux基金会 Linux基金会成立于2000年，致力于促进Linux操作系统及其生态的发展基金会为Linux提供了一个有利于协作和推广的开放代码平台，为解决软件开发商和用户面临的Linux生态系统问题提供了基础，促进并保卫了Linux的发展Linux基金会内部构成了用于应用程序开发的标准服务，推动了Linux在全球的标准化当前，Linux项目的开源代码量已经超过2 500万行 3)OpenStack基金会 OpenStack基金

9、会2020年在美国成立，其管理的最着名的开源项目为OpenStack云计算项目OpenStack项目由美国国家航空航天局和云服务商Rackspace共同发起，旨在推动云计算服务在全球的发展，为私有云和公有云提供可扩展的弹性服务OpenStack覆盖了云计算基础设施中的网络、虚拟化、操作系统、服务器等各个方面，当前已成为市场占有率最高的云计算解决方案 开源组织管理的大量开源代码已广泛应用于日常使用的软件中，支撑了网络和信息系统的正常运行信息系统中主流的操作系统、数据库、应用软件等产品均不同程度地嵌入了开源代码通过对相应软件产品的安装包进行反编译及二进制代码检测，往往能够发现软件代码中的开源成分我

10、们通过对某款应用范围较广的办公软件进行二进制代码检测，溯源分析后发现其开源代码比例在22%以上，在开源代码库中匹配到了Zlib,TinyX-Path,cctz,libytnef,pugixml等29个开源组件，这些开源组件绝大部分出自美国的开源项目，牵涉GPL,Apache License,BSD等开源许可证，相关代码在GitHub,SourceForge等代码托管平台上进行维护 2 、开源软件供给链的特点 2.1 、开源代码管理具有开放性 当前，开源软件项目主要有2种管理形式：一种为基金会主导形式，如Apache软件基金会Hadoop项目、Linux基金会的Linux项目等；另外一种为企业主

11、导形式，如谷歌的Android项目、微软的Visual Studio Code项目等基金会或企业通过将软件源代码在相应社区及代码托管平台公开，供用户使用、修改和沟通，以社会化协作的方式提高软件生产效率，开发者只要遵循社区的规则都能够对代码进行访问和修改开放性促进了开源的快速发展，但也带来了代码管理的一些问题，如代码维护管理依靠开源社区、代码安全性缺乏审核、很少有特定的人员专门负责修补安全漏洞等 2.2 、开源许可证体系混乱 值得注意的是，“开源 并不代表“免费 ，更不是“随意用 开源项目在应用经过中通常需要绑定相关的许可证，开源许可证规定了开源代码的知识产权所有人对于代码使用者的限制条件，这些

12、条件包括能否允许用于商业用处、能否允许用于某些特定领域、能否允许专利受权等，用户选择使用其开源代码相当于默认接受相关的限制条件当前，国际上并未构成统一的开源许可证体系，已经知道存在的许可证就包括Apache License,GPL,MIT,BSD等几十种，其规定的限制条件各不一样在企业软件开发经过中，使用多个绑定不同许可证的开源组件，会导致许可证规则冲突，面临法律风险3如中国某公司曾因未公开Android系统相关代码而被开源社区认定违背其许可证规则，原因是Android系统绑定了Apache2.0许可证，该许可证不要求公开源代码，但该公司在Android中参加了绑定GPLv2许可证的Linux

13、内核代码，GPLv2许可证则要求修改后的代码必须公开，而该公司并未公开 2.3 、大部分开源软件受美国法律管辖 20世纪90年代开源概念在美国兴起，在其政策主导下产生了Apache基金会、Google等开源组织和企业，以及Hadoop,Android等着名的开源项目美国注册的开源组织在运营政策上基本都会遵守美国相关的法律法规全球最大的开源基金会Apache软件基金会在其运营文件中就明确表示，其产品均是由在美国的服务器向外分发，须遵守美国(出口管制条例Export Administration Regulation,EAR随着我们国家开源软件的快速发展，国内固然产生了一批开源组织和自建的代码托管

14、平台，但仍然难以撼动美国对开源软件的绝对主导地位，当前绝大部分开源代码事实上仍然被美国控制 3 、开源软件供给链的安全风险 网络产品供给链的主要风险除了产品本身的安全性外，还包括产品使用后带来的网络和信息系统被非法控制、遭受干扰和毁坏、数据泄露的风险，以及产品供给渠道可靠性及能否可能因政治、外交、贸易等原因中断供给的风险4我们通过对某办公软件的开源成分进行分析，同时结合其开源代码安全、开源项目、托管平台、法律政策等相关数据的收集，初步判定开源软件在供给链安全方面存在3大风险 3.1、 开源软件漏洞难以管理，产品安全性面临风险 开源软件因其代码的公开性，在一定程度上降低了开发成本，提高了开发效率

15、，但同时也带来了安全风险开源软件的安全漏洞管理与其他商业软件具有较大区别商业软件在发现漏洞后，通常会把修复补丁自动推送给用户，开源软件则是被动的“拉取形式 ，相关补丁需要人工安装若开发人员不对使用的开源代码定期检查，则相应的安全漏洞会一直存在随着新代码的参加，漏洞在代码库中将越积越多，漏洞平均年龄逐步增加，修复漏洞将变得耗时耗力在这里次办公软件的开源成分分析中，通过匹配开源代码漏洞库，发现了libytnef等开源组件的堆溢出漏洞5等14个中高危漏洞，攻击者可利用这些漏洞构建恶意文件，入侵并瘫痪网络系统而开源代码的开放性特点，使得代码的漏洞人人可见，这当中肯定也包括网络攻击者在一些基础开源代码应

16、用范围特别广泛的情况下，开源的特点导致越来越多的开源代码库正在成为网络犯罪的目的，攻击者往往倾向于利用基础开源代码发动1次行动造成很多攻击，而不是去攻击每一个应用开发者甚至能够存心故意开创建立恶意代码，让企业在不知情的情况下将恶意代码纳入其代码库中，构成隐藏的风险一旦不法分子利用开源软件的漏洞对电信、能源、交通等行业的重要信息系统发动攻击，可能造成大范围的社会基础设施出现服务中断，大量的个人信息和重要数据面临泄露的风险 3.2、 开源软件知识产权面临法律风险 企业使用开源组件相当于默认接受开源许可证的限制条件，比方办公软件中使用的libytnef,js等开源组件使用了GPLv2许可证，该许可证

17、限制了其产品应用于特定行业领域假如不遵守许可证规则将引起知识产权等问题上的法律纠纷，增加软件遭禁用的风险，产品提供者将承当高昂的软件替代成本而且，注册于美国的开源组织产生的法律纠纷受美国的司法管辖如js开源项目所属的Mozilla基金会在服务协议6中明确其受美国加州法律管辖，相应的索赔和纠纷应在加州圣克拉拉县法院提起诉讼美国的属地管辖不仅增加了相关法律诉讼的成本，也令使用这些开源代码的企业和运营者在知识产权问题上面临众多不确定性，在可能牵涉域外法律管辖时，相关的法律风险大大升高 3.3 、开源代码在美国出口管制下存在断供风险 开源代码托管平台GitHub在官方声明7中明确表示，相关产品遵守美国

18、EAR，包括禁止受制裁的国家和团体访问其服务，禁止其企业服务出售或出口至伊朗、朝鲜、叙利亚等受美国制裁的国家此次分析的办公软件所使用的libytnef,pugixml,cctz等开源组件代码就托管于GitHub据公开报道，2022年就曾发生伊朗和俄罗斯克里米亚地区的GitHub用户个人账户遭到封禁无法取回代码的事件，这表示清楚GitHub已在美国出口管制要求下展开行动 美国EAR将开源代码的出口划分为2类8：一类是“公开可获得 publicly available的不带加密功能的软件源代码，不受出口管制；另一类是公开可获得的带加密功能的软件源代码出口控制等级编号ECCN为5D002，虽不会被限

19、制出口，但需符合备案要求当前，知名的Tomcat,Hadoop等开源项目都被划定为ECCN 5D002，相当于备案后可不受管制总体来讲，开源软件在正常情况下属于“公开可获得 的软件，即便开源组织在政策上声明遵从美国EAR要求，当前尚不会被限制出口但假如美国调整EAR规则，将含有开源成分的重点软件参加到管制名单，或修改当前“备案后不受管制 的条款，大量核心的开源项目将面临出口管制的限制，我们国家软件开发者获取相关开源代码将非常困难，相关产品的软件供给链将面临极大的断供风险2020年1月6日，美国商务部就通过更新EAR将“用于自动分析地理空间图像的软件 出口控制等级编号ECCN为0Y521列入管制

20、范围，智能化传感器、无人机、卫星等目的辨别软件都在限制范围之内，美国企业必须得到许可后才能出口这些软件到中国等目的地在2022年美国将华为公司列入出口管制“实体清单 后，谷歌即公布停止向华为提供基于Android系统的更新服务及应用固然谷歌对华为的“断供 并不牵涉安卓开源项目AOSP(Android Open Source Project，但是美国相关开源组织和平台的“集体行动 ，不得不让我们开场对开源软件供给链面临的断供风险予以重视2020年3月，国际开源芯片技术组织RISC-V基金会就公布将总部从美国特拉华州迁往瑞士9其负责人表示，固然当前基金会的全球合作尚未遭到影响，但基于对美国贸易限制

21、的担忧及成员可能面临的地缘政治毁坏，仍然决定将基金会的注册地迁出美国在当下中美贸易摩擦尚未结束、美对我相关企业的制裁并未解除的大背景下，美国对其出口管制规定的不断调整，将导致开源软件因政治、外交、贸易等因素供给中断的风险增大 4 、对策建议 随着开源软件的广泛应用，开源安全风险日益凸显为有效控制网络安全风险，保障重要信息系统承载的业务安全：一是网络安全检测认证机构需加强开源软件安全评价技术及方式方法研究，利用软件代码分析等工具准确辨别网络产品中的开源成分，分析开源代码安全性，为安全评估提供重要的手段支撑二是企业应提高开源软件供给链安全意识，充分评估开源软件许可证冲突及软件供给中断的法律风险，加

22、大自主创新投入10，提高代码自主水平，推动构建国产开源生态，完善安全、可靠、多源的软件供给链安全保障体系 以下为参考文献 1刘权,王超加强软件供给链安全保障的对策建议.中国信息安全,2021(11):64-66 2 Synopsys,Inc .Open source security and risk analysis R. San Francisco:Synopsys,2022 3刘彬彬开源许可协议的法律问题研究D兰州:兰州大学2020 4马宁我们国家网络安全审查法律制度的演进J保密工作2020(8):52-54 5曾永瑞李喆.Linux二进制漏洞利用一突破 系统防御的关键技术J.信息安全研

23、究, 2021,4(9):806-818 6 Moilla. Websites communications terms of use EB/OL.2021-01-27 7 GitHub. GitHub and trade controls EB/OL:2021-01-27. 8 US Department of Commerce. Export administration regulations EB/OL.2021-01-30. 9 RISC-V.International reports another strong year of growth with new technical milestones, educational programs,RISC-V adoption and more EB/OL.2020-12-30J. 10倪光南坚持信创科技自立自强建设网络强国、数字中国J.信息安全研究,2021.7(1).2-3