0
4月25日,在第四屆數字中國建設峰會軟件開源生態分論壇上,開源軟件供應鏈安全實驗室正式啟動成立。該實驗室是由360集團聯合國家工業信息安全發展研究中心、中國科學院軟件研究所、北京航空航天大學軟件學院、北京大學軟件工程國家工程研究中心、開源中國共同發起,將聚焦開源生態治理重點需求和開源軟件供應鏈薄弱環節,加強理論和前沿技術研究,搭建技術支撐平臺、開源軟件檢測認證、成熟度評估等工作。
“開源模式改變了傳統的軟件發展模式,重塑了軟件產業格局,是代表未來的協作創新機制,因此,我們更需要重視開源安全問題。”360集團副總裁兼首席安全官杜躍進博士在峰會上發表題為“用開源思路提高軟件安全”的主題演講。據統計,過去10年,開源軟件漏洞總數增長了18倍,而2020年已發布的開源軟件漏洞數量再創新高,其總數為9658個,相比于2019年,增量超過一半。
過去十年,開源漏洞不僅數量倍增,其破壞力也可見一斑。2014年,開源密碼庫OpenSSL中的 Heartbleed 安全漏洞被發現,這個漏洞影響了50萬Web 服務器。而經360檢測,國內有不少于30%的網站中招,其中包括網銀、網購、網上支付、郵箱、門戶等知名網站和服務,而且,無論用戶電腦多么安全,只要網站使用了存在漏洞的OpenSSL版本,用戶就可能被黑客實時監控到登錄賬號和密碼。據搜索引擎商 Shodan 報告,截至2019年底,該漏洞引起了91000多起脆弱性事件。這正是廣為人知的“OpenSSL心臟出血漏洞”,因影響范圍之廣、破壞性之大,被稱為網絡安全里程碑事件。
伴隨數字化進一步發展,開源漏洞的破壞性還將更加嚴重。“不管是智慧城市,智慧醫療等,都需要用到一些人工智能應用或者服務,而這些應用或者服務的實現是建立在一系列AI框架之上,需要利用AI框架訓練模型,并實現最后的推理預測。” 杜躍進博士表示,一旦框架存在問題,既會影響人工智能應用或者服務的開發者,更多的會影響用戶,甚至會影響智慧醫療、智慧城市的正常運轉。另一方面,隨著信創產業的高速發展,開源軟件已成為信創生態建設的“基石”,開源軟件安全問題已成為信創安全保障的重要環節。
因此,如何更加妥善的應對開源帶來的風險,是全行業需要思考的問題。360一直致力于開源安全能力建設,一方面,作為國家新一代人工智能安全開放創新平臺的依托單位,360已累計發現主流機器學習框架及依賴組件漏洞超過100個,影響范圍包括Tensorflow、Caffe、PyTorch等;另一方面,圍繞信創安全面臨的嚴峻考驗,360積極開展信創安全體系頂層設計,適配信創安全產品,聯合統信軟件等發起“國密數字證書計劃”。
但是,僅靠安全產業界現有的力量是遠遠不夠的,杜躍進博士呼吁要用開源精神和開源模式建設信創安全生態,提高信創安全水平,調動民營企業和社會力量的優勢,建設信創安全整體能力。為此,2019年10月,360打造了全國第一家開源漏洞響應平臺360BugCloud,并首創“自主議價”的全新模式及“第三方專家評審”機制,在獎金設立上,以“四位數起且上不封頂”的致謝金額,表達對每一位致力于維護開源軟件及社區平臺安全、世界安全的研究員的尊重。
業界人士評價稱,360BugCloud是一個漏洞眾測的平臺,可以延伸成漏洞研究人員的社區,再進一步可以衍化成一個用社會化力量幫助用戶應對漏洞的社區,對開源安全意義重大。而此次開源軟件供應鏈安全實驗室的成立,也將進一步推動建立開放創新生態體系,服務我國開源生態建設。
據悉,作為數字中國建設成果峰會的核心分論壇之一,軟件開源生態分論壇由工業和信息化部、國家互聯網信息辦公室主辦,國家工業信息安全發展研究中心和福州市人民政府共同承辦。
雷鋒網雷鋒網
雷峰網版權文章,未經授權禁止轉載。詳情見轉載須知。
