应对硬币另一面：新思科技为开源安全管理保驾护航

如同任何一枚硬币都有两个面，开源软件在降低成本、提高灵活性、方便使用者的同时，也带来了安全性差、支持力度弱、更新不够及时等问题。那么，我们是否因此而限制开源的使用？开源已成大势所趋，因噎废食必不可取。在开源利大于弊的情况下，产业界需要做的是提升开源软件的安全合规、可管可控能力，为开源软件保驾护航。

近期，2020 OSCAR开源产业大会召开，新思科技组成分析工具Black Duck高分通过中国信息通信研究院的开源工具本地化方案评测。“开源是构建软件应用的基础，如果没有有效的方法来跟踪和管理，企业将面临使用开源所带来的安全、许可证合规性和代码质量风险。因此有效的开源工具对于抗击黑客攻击、保护敏感数据和获得客户信任来说至关重要。”新思科技软件质量与安全部门销售总监兼管理顾问薛植元表示。

新思科技软件质量与安全部门销售总监兼管理顾问  薛植元

三大风险不容忽视

凭借显著的技术和应用优势，开源软件近年来备受使用者欢迎。根据新思科技的《2020年开源安全和风险分析》报告（OSSRA），过去一年中经过审计的所有有效代码库中有99%至少包含一个开源软件。

值得注意的是，开源软件的弊端也非常明显，并且安全风险与日俱增。根据OSSRA，安全漏洞、许可证违规、运维风险是当前企业使用开源软件所面临的三大风险，OSSRA在调查中发现的一些数据令人担忧。

首先，经过审计的代码库中，75%包含具有已知安全漏洞的开源组件，而去年这一比例为60%；将近一半（49%）的代码库包含高风险漏洞，去年则为40%，这意味着发生巨大安全事件的概率在上升。

其次，33%的代码库包含未经授权的许可，67%的代码库包含许可冲突。“广义上认为开源都是免费的，实际上还要履行相关义务及责任，如果我们没有合规使用，以及履行相关义务，那么我们一定会承担相关法律风险。”薛植元认为。

再次，老化或者废弃的开源组件仍被广泛使用。82%的代码库至少包含已经过时4年的开源组件，88%的代码库使用了过去两年内没有贡献者活跃的开源组件。“使用不再活跃的组件，意味着日后如果发生漏洞那么无人提供维护，需要自己重构代码，维护成本巨大。不再活跃的代码库和项目，也意味着产品会很快过时，需要寻找替代方案去重构代码，运维风险和成本大大增加。”分析这一弊端的危害，薛植元表示。

Black Duck实现95%的开源组件检出率

开源软件的安全性已经得到了政府机构、研究机构和相关企业的重视。中国信通院对开源软件使用状况进行了调查，对于“开源治理的困难”的问题，选择“开源软件数目庞大、统筹管理困难”的比例高达63.4%；在企业开源策略选择方面，安全是大多数企业的首要考虑因素。

作为一项新兴事物，开源软件的安全水平提升已然迫在眉睫，但是对于何处入手、如何提高很多企业却不得而知。正因为如此，中国信通院多方出击，发布《开源生态白皮书》、进行开源工具治理评测、联合各方建立开源治理标准等，以促进开源产业的发展。其中，新思科技作为信通院的合作伙伴，深度参与了多个环节。

特别值得一提的是，新思科技的分析工具Black Duck高分通过中国信通院的开源工具本地化方案评测。薛植元介绍，Black Duck在此次严苛的评估中表现优异，开源组件检出率高达95%。这里的检出率是正确检出的开源组件数量除以被测靶场开源组件的真实数量，95%意味着Black Duck凭借强大的多因子检测技术，面对不同的语言和开发环境，可以检测出95%的开源组件。据悉，95%的高检出率在业内并不多见。

“识别开源项目是防范风险的首要前提，如果没有有效的方法来跟踪和管理，企业将面临使用开源软件所带来的安全、许可证合规性和代码质量风险。”薛植元如此解释检出率的重要意义。

积累与创新助力Black Duck脱颖而出

那么，新思科技如何做到95%的高检出率？薛植元娓娓道来了新思科技开源治理方案Black Duck的前世今生。

薛植元介绍，Black Duck是2002年成立的一家公司，提供全球首款开源管理方案，堪称开源治理工具的先驱，开创了行业之先河。2017年底，Black Duck被新思科技收购，加入了其应用安全领域产品大家庭。2020年，Black Duck融合多种扫描技术，大大拓展扫描能力，形成了非常完善的产品技术路线，尤其是在增强型漏洞数据库、增强型开源合规指南、企业私有库及开源同源等管理方面实现了技术拓展与融合。

目前，Black Duck能够提供端到端的开源风险管理方案，可以提供深度探测、识别安全漏洞和风险、强制执行开源策略、实时监控等，具备构建识别、特征码识别、指纹识别、二进制识别等能力。正因为上述突出优势，新思科技实现了95%的高检出率。

“新思科技软件组成分析Black Duck解决方案可为企业提供可视化管理和架空，以最大限度地发挥开源的优势，降低企业的风险，帮助企业快速构建软件，同时确保开源的安全以及合规。”薛植元表示。

新思科技的技术优势也得到了国际咨询机构的认可，Gartner连续多年将其评为应用安全全球市场的领导者，Black Duck也成为开源治理方面业界公认的领导者。

与国外相对成熟的开源产业相比，国内起步较晚，尚处于早期阶段。但是开源是不可阻挡的发展大势，随着安全、许可证、运维风险等问题的解决，开源必将迎来繁花似锦的春天。