log4j 2漏洞爆發(fā)，開(kāi)源軟件安全治理正當(dāng)時(shí)！

近年來(lái)，隨著云計(jì)算、AI、IOT等技術(shù)的不斷發(fā)展，IT等信息技術(shù)領(lǐng)域也有了新的突破，可以更好的賦能關(guān)鍵信息基礎(chǔ)設(shè)施建設(shè)。然而，安全作為主旋律，一直是備受關(guān)注的焦點(diǎn)。一方面，傳統(tǒng)安全防護(hù)措施的缺失，對(duì)于新型高級(jí)威脅缺少防護(hù)壁壘；另一方面，開(kāi)源趨勢(shì)下，事后防御的手段已不滿足安全需求，“安全左移”下提出了更高的安全需求。

尤其是，近日影響力巨大的log4j 2.x的漏洞事件，引起了軒然大波。包括之前的solarwinds事件、Apace Strust2等漏洞事件都為我們敲響了安全警鐘。如何做好此類事件的威脅防護(hù)、開(kāi)源安全的風(fēng)險(xiǎn)治理是需要大家積極探討的新命題。

12月30日，由懸鏡安全、OpenSCA聯(lián)合主辦的全球首款企業(yè)級(jí)OpenSCA技術(shù)開(kāi)源發(fā)布會(huì)在北京舉行，會(huì)議現(xiàn)場(chǎng)，針對(duì)“開(kāi)源軟件”、“供應(yīng)鏈安全”等熱點(diǎn)帶來(lái)不同角度的學(xué)術(shù)探討與實(shí)踐分享，共同探討開(kāi)源產(chǎn)業(yè)生態(tài)下的安全新態(tài)勢(shì)。

用開(kāi)源的方式做開(kāi)源風(fēng)險(xiǎn)治理

大會(huì)現(xiàn)場(chǎng)，懸鏡安全創(chuàng)始人兼CEO子芽圍繞“開(kāi)源”、“風(fēng)險(xiǎn)治理”、“OpenSCA”等關(guān)鍵詞分享了如何用開(kāi)源的方式做開(kāi)源風(fēng)險(xiǎn)治理。

 懸鏡安全創(chuàng)始人兼CEO子芽分享

子芽表示，應(yīng)用開(kāi)源是大勢(shì)所趨，但是避免不了Web通用漏洞、業(yè)務(wù)邏輯漏洞、開(kāi)源成分的缺陷及后門等漏洞問(wèn)題，而用開(kāi)源的方式做開(kāi)源風(fēng)險(xiǎn)治理，可以讓開(kāi)源用多樣性擁抱不確定性，形成開(kāi)源新范式。

此次，懸鏡安全對(duì)外發(fā)布OpenSCA開(kāi)源技術(shù)，是為了解決看不清、摸不透、跟不上、防不住的治理難題。OpenSCA作為懸鏡安全旗下商業(yè)級(jí)SCA產(chǎn)品源鑒OSS開(kāi)源威脅管控平臺(tái)的開(kāi)源版本，它繼承了源鑒OSS的多源SCA開(kāi)源應(yīng)用安全缺陷檢測(cè)核心能力。懸鏡把OpenSCA技術(shù)開(kāi)源，對(duì)于守護(hù)中國(guó)軟件供應(yīng)鏈安全有著重要的意義。

據(jù)了解，懸鏡安全數(shù)十位來(lái)自北大的科研人員、行業(yè)專家智庫(kù)，歷時(shí)26280個(gè)小時(shí)潛心打磨，提出了“用開(kāi)源的方式做開(kāi)源風(fēng)險(xiǎn)治理”，用簡(jiǎn)單的配置即可完成對(duì)開(kāi)源組件所使用的成分進(jìn)行檢測(cè)，深度挖掘組件中潛藏的各類安全漏洞及開(kāi)源協(xié)議風(fēng)險(xiǎn)，進(jìn)而助力企業(yè)進(jìn)行開(kāi)源風(fēng)險(xiǎn)的識(shí)別及治理。

開(kāi)源軟件下軟件供應(yīng)鏈安全如何治理

log4j 2漏洞是近期圈內(nèi)和圈外討論熱度都較高的話題，Apache Log4j是一個(gè)基于Java的日志記錄工具，基本70%以上的企業(yè)都有使用的開(kāi)源代碼。log4j 2漏洞的爆發(fā)給我們帶來(lái)的警示是什么？開(kāi)源的軟件如何保證安全？log4j 2究竟是“黑天鵝”還是“灰犀牛”？

基于以上問(wèn)題國(guó)家信息技術(shù)安全研究中心總師組專家楊韜認(rèn)為：“這是一個(gè)大事，但并不是新鮮事。對(duì)于應(yīng)對(duì)漏洞，產(chǎn)品和服務(wù)的提供者以及網(wǎng)絡(luò)運(yùn)營(yíng)者，需要在未來(lái)很長(zhǎng)的一段時(shí)間之內(nèi)做好心理準(zhǔn)備和0day漏洞共存。”

北京賽博英杰科技有限公司創(chuàng)始人兼董事長(zhǎng)表示：“企業(yè)要敢于盤家底，要排查有多少系統(tǒng)用了該工具，所有配置設(shè)置都要了解清楚?！?/p>

隨著軟件產(chǎn)業(yè)的快速發(fā)展，軟件供應(yīng)鏈也越發(fā)復(fù)雜多元，復(fù)雜的軟件供應(yīng)鏈會(huì)引入一系列的安全問(wèn)題，導(dǎo)致信息系統(tǒng)的整體安全防護(hù)難度越來(lái)越大。其中，開(kāi)源軟件的安全問(wèn)題尤其值得關(guān)注。

東方通集團(tuán)副總裁朱木林認(rèn)為：“開(kāi)源社區(qū)難以管理，開(kāi)源代碼的漏洞很多，因此要積極擁抱開(kāi)源，如果廠商、監(jiān)管以及國(guó)家三方合力形成一種機(jī)制，一起營(yíng)運(yùn)管理開(kāi)源軟件的安全生態(tài)?！?/p>

“l(fā)og4j 2漏洞的爆發(fā)，站在戰(zhàn)略投資的角度來(lái)說(shuō)，讓安全領(lǐng)域成為了資本所青睞的對(duì)象”，同時(shí)國(guó)家也會(huì)有更多的政策傾斜到這一領(lǐng)域?！卑俣裙こ绦懿啃试萍夹g(shù)總監(jiān)及開(kāi)源中國(guó)聯(lián)席產(chǎn)品主席張偉軍如是說(shuō)。

懸鏡安全CTO寧戈則認(rèn)為開(kāi)源的風(fēng)險(xiǎn)治理是比較嚴(yán)重的問(wèn)題，因?yàn)殚_(kāi)源組件的維護(hù)都是社區(qū)自發(fā)的，安全力量投入不足，另外開(kāi)源社區(qū)的發(fā)展是無(wú)序進(jìn)化的狀態(tài)，對(duì)于安全治理也是比較難的。

“黑天鵝”一般指那些出乎意料發(fā)生的小概率風(fēng)險(xiǎn)事件；“灰犀?！敝改切┙?jīng)常被提示卻沒(méi)有得到充分重視的大概率風(fēng)險(xiǎn)事件。相對(duì)于開(kāi)源軟件來(lái)說(shuō)，面對(duì)的“黑犀?！钡耐{是更多的，因此安全治理必須要考慮。

據(jù)不完全統(tǒng)計(jì)，全球97%的軟件開(kāi)發(fā)者和99%的企業(yè)使用開(kāi)源軟件，基礎(chǔ)軟件、工業(yè)軟件、新興平臺(tái)軟件大多基于開(kāi)源，開(kāi)源軟件已經(jīng)成為軟件產(chǎn)業(yè)創(chuàng)新源泉和“標(biāo)準(zhǔn)件庫(kù)”。與此同時(shí)，開(kāi)源許可證的兼容性問(wèn)題、開(kāi)源項(xiàng)目的合規(guī)問(wèn)題、開(kāi)源安全漏洞問(wèn)題和開(kāi)源知識(shí)產(chǎn)權(quán)的侵權(quán)等問(wèn)題也日趨凸顯。

未來(lái)，懸鏡安全將依托軟件供應(yīng)鏈安全技術(shù)，布局開(kāi)源安全產(chǎn)業(yè)生態(tài)，以前瞻性產(chǎn)業(yè)視角視角構(gòu)筑行業(yè)安全生產(chǎn)線，不斷拓展人類認(rèn)知實(shí)踐的邊界，在更大的范圍幫助更多的企業(yè)實(shí)現(xiàn)開(kāi)源風(fēng)險(xiǎn)治理，助力開(kāi)源生態(tài)健康有序發(fā)展。（雷峰網(wǎng)(公眾號(hào)：雷峰網(wǎng))）

如何參與OpenSCA開(kāi)源項(xiàng)目

一、OpenSCA官網(wǎng)：

https://opensca.xmirror.cn/

二、OpenSCA開(kāi)源項(xiàng)目地址

1. 本地檢測(cè)工具

GitHub：

https://github.com/XmirrorSecurity/OpenSCA-cli

Gitee：

https://gitee.com/XmirrorSecurity/OpenSCA-cli

2. IDEA插件

GitHub：

https://github.com/XmirrorSecurity/OpenSCA-intellij-plugin

Gitee：

https://gitee.com/XmirrorSecurity/OpenSCA-intellij-plugin    

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。