開源更需要社區(qū)參與才能蓬勃發(fā)展。如果沒有社區(qū)參與，企業(yè)將開源組件用于商業(yè)軟件，項目活力很容易減弱。在數(shù)字經(jīng)濟時代，軟件風險等同于業(yè)務風險。掌握軟件中開源組件的信息有利于管理軟件風險，進而保障業(yè)務。

　　近日，非營利性組織Linux基金會和哈佛創(chuàng)新科學實驗室發(fā)布了“自由和開放源碼軟件普查II - 應用庫”。這次普查列出了1,000多個最為廣泛使用的開源應用庫。新思科技 <https://www.synopsys.com/zh-cn.html?cmp=pr-sig&utm_medium=referral>網(wǎng)絡安全研究中心(CyRC)將自身基于數(shù)千家公司代碼庫的掃描結(jié)果數(shù)據(jù)匿名化后，貢獻給了此次普查報告，有助于更全面地了解 FOSS（自由/開源軟件，free and open source software）的使用情況。

　　Linux基金會普查 II (Linux Foundation Census II)檢查了最受歡迎的開源應用庫，并且羅列了影響這些應用庫安全問題的因素。

　　報告作者指出：“完全理解 FOSS 的健壯性、經(jīng)濟價值和安全性是一件很難的事情，因為它是以去中心化和分布式的方式產(chǎn)生的。”由于軟件組件打包方式以及版本分類和識別方式多種多樣，因此該報告將它們歸納匯總成8 種Top 500排名。

　　新思科技軟件質(zhì)量與安全部門安全解決方案經(jīng)理Mike McGuire將軟件包和版本比作汽車的型號、生產(chǎn)年份和配置。他說：“如果我只說我開一輛豐田凱美瑞汽車，但你仍可能不會知道我開的是哪一款車。1999年版本，還是2022年版本？在訂購零部件、獲得服務、跟蹤召回等時候了解這些信息非常重要。”

　　報告作者表示：“這是為了維持 FOSS 長期安全和健康的活動提供信息。”該報告可以幫助我們預估哪些FOSS軟件包被廣泛地使用在不同的應用中。它不是評估衡量該軟件的風險狀況。許多指標可以用來風險提示，但各家企業(yè)可能對因素的權(quán)重不同。

　　Mike McGuire對此表示贊同。廣泛使用并不代表更關(guān)鍵。他解釋道：“大量的應用程序可能正在使用某一特定的 Java GUI 框架，所以這個框架非常流行。但它可能不是軟件的關(guān)鍵部分。每個企業(yè)應用程序構(gòu)建的方式不同，其關(guān)鍵組成也大相徑庭。”

　　盡管如此，一旦確定了使用最廣泛的軟件，我們就更容易評估風險狀況。

　　現(xiàn)在，改善軟件識別、分類和維護面臨著一些挑戰(zhàn)。隨著行業(yè)朝著廣泛標準化和采用軟件物料清單(SBOM)的方向發(fā)展，了解這些挑戰(zhàn)都非常重要，包括：

　　新思科技中國區(qū)軟件應用安全技術(shù)總監(jiān)楊國梁表示：“開源軟件易獲取、開放、共享，為業(yè)界帶來豐富的紅利。但同時，對開源組件漏洞的利用，甚至偽裝成開源貢獻者預埋漏洞，這些都屢見不鮮。近期，Log4Shell和Spring4Shell漏洞在業(yè)界沸沸揚揚，這也體現(xiàn)了掌握已使用開源組件信息的必要性。在漏洞披露時，相關(guān)方可以采取更及時的行動。因此，軟件組成分析 (SCA) 解決方案的重要性日益凸顯。SCA可以為應用生成SBOM，如果組件中出現(xiàn)新漏洞，會及時主動通知用戶。”

　　大多數(shù)企業(yè)級應用，包括我們常用的購物網(wǎng)站、社交媒體等，服務海量用戶，需要持續(xù)地穩(wěn)定運行。為此，開發(fā)人員經(jīng)常使用日志，以監(jiān)控應用的狀態(tài)和安全。Log4j2是提供日志功能的開源組件；Spring Core Framework用于Java應用，在基于J2EE的應用中被廣泛地使用。由此可見，Log4Shell和Spring4Shell漏洞的影響范圍之大。

　　Mike McGuire表示：“Linux基金會普查 II展示了最常用的FOSS以及一些深刻的洞察。雖然它不是指導，但是指出組織和個人都需要積極參與FOSS的開發(fā)，而不是留給一小部分開發(fā)人員像現(xiàn)在這樣領(lǐng)導開源項目。該報告還顯示了SCA工具在檢測開源歷史遺留軟件方面的重要性，以及 SBOM 領(lǐng)域?qū)�標準化的持續(xù)需求。”

　　新思科技開源專家王永雷補充道：“BOM的概念來自制造業(yè)，傳統(tǒng)BOM是詳細列出產(chǎn)品組成的物資明細。當發(fā)現(xiàn)缺陷零件時，制造商可以準確地知道哪個產(chǎn)品受到了影響，以便安排修理或更換�，F(xiàn)在，隨著開源組件的大規(guī)模使用，SBOM需求已經(jīng)開始呈現(xiàn)出增長態(tài)勢。新思科技的開源管理工具Black Duck可以創(chuàng)建和管理企業(yè)級的上下游軟件供應鏈完整的SBOM，幫助管理在應用和容器中使用開源和第三方代碼所帶來的安全、質(zhì)量和許可證合規(guī)性風險。”