開源軟件供應(yīng)鏈的特點(diǎn)和存在的安全問題,計(jì)算機(jī)應(yīng)用技術(shù)論文

開源軟件供應(yīng)鏈的特點(diǎn)和存在的安全問題,計(jì)算機(jī)應(yīng)用技術(shù)論文摘要：當(dāng)下，網(wǎng)絡(luò)產(chǎn)品中大量應(yīng)用了開源軟件，開源已成為軟件供給鏈中的重要一環(huán)，其安全性和可控性問題日漸突出.西方國家對開源組織及開源項(xiàng)目政策上的主導(dǎo)優(yōu)勢，對我們國家相應(yīng)網(wǎng)絡(luò)產(chǎn)品供給鏈安全產(chǎn)生了極大影響.從網(wǎng)絡(luò)安全工作出發(fā)，結(jié)合軟件開源代碼成分分析結(jié)果，對開源軟件供給鏈存在的安全風(fēng)險(xiǎn)進(jìn)行了研究和分析，提出完善開源軟件供給鏈安全管理的建議.本文關(guān)鍵詞語:安全風(fēng)險(xiǎn);網(wǎng)絡(luò)安全;開源軟件;供給鏈;網(wǎng)絡(luò)產(chǎn)品;Abstract：Currently,opensourcesoftwareiswidelyusedinnetworkproductsandhasbecomeanimportantpartofthesoftwaresupplychain.However,itssecurityandcontrollabilityissueshavebecomeincreasinglyprominent.Westerncountriesdominantadvantagesinopensourceorganizationsandopensourceprojectpolicieshaveagreatimpactonthesecurityofchinascorrespondingnetworkproductsupplychains.Startingfromthecybersecurity,thisarticlecombinestheanalysisresultsoftheopensourcesoftwarecodecomponentstostudyandanalyzethesecurityrisksintheopensourcesoftwaresupplychain,andproposessuggestionsforimprovingthesafetymanagementofopensourcesoftwaresupplychain.Keyword：securityrisk;cybersecurity;opensourcesoftware;supplychain;networkproduct;近年來，隨著我們國家互聯(lián)網(wǎng)的蓬勃發(fā)展，電子產(chǎn)品和網(wǎng)絡(luò)設(shè)備逐步深切進(jìn)入人民群眾的日常生活，成千上萬的網(wǎng)絡(luò)產(chǎn)品和服務(wù)構(gòu)建起了我們?nèi)粘Ｊ褂玫耐ㄐ啪W(wǎng)絡(luò)和信息系統(tǒng)．為保障國家網(wǎng)絡(luò)安全，2021年6月1日(中國網(wǎng)絡(luò)安全法〕正式施行，第31條提出，通信、能源、交通、水利、金融、公共服務(wù)等重要行業(yè)和領(lǐng)域的信息系統(tǒng)一旦遭到毀壞、喪失功能或者發(fā)生數(shù)據(jù)泄露，將會嚴(yán)重危害國家安全、國計(jì)民生和社會公共利益．在這里前提下，重點(diǎn)行業(yè)信息系統(tǒng)使用的產(chǎn)品和服務(wù)面臨的網(wǎng)絡(luò)安全問題，應(yīng)引起我們足夠的重視．為了防止信息系統(tǒng)遭遭到不法損害，防備可能存在的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，以網(wǎng)絡(luò)產(chǎn)品和服務(wù)供給鏈安全作為切入點(diǎn)，著眼于加強(qiáng)供給鏈各環(huán)節(jié)的安全保障能力，提升網(wǎng)絡(luò)產(chǎn)品和服務(wù)供給鏈安全管理水平，成為當(dāng)前最有效、最務(wù)實(shí)的安全策略．網(wǎng)絡(luò)產(chǎn)品和服務(wù)供給鏈包括了產(chǎn)品的核心部件、軟件代碼及生產(chǎn)制造運(yùn)維經(jīng)過中牽涉的相關(guān)環(huán)節(jié)，華而不實(shí)，軟件是供給鏈極其重要的組成部分．近年來，開源軟件以其開放、分享、便捷等特點(diǎn)迅猛發(fā)展，逐步成為信息系統(tǒng)軟件開發(fā)的基礎(chǔ)．作為軟件供給鏈的重要一環(huán)，開源甚至構(gòu)成了一種行業(yè)生態(tài)，開源軟件在網(wǎng)絡(luò)產(chǎn)品供給鏈安全中的重要位置也日益顯現(xiàn)．1、開源軟件應(yīng)用現(xiàn)在狀況隨著開源軟件在軟件研發(fā)經(jīng)過中的應(yīng)用范圍不斷擴(kuò)大，開源正進(jìn)入生活的方方面面，包括我們?nèi)粘Ｊ褂玫氖謾C(jī)、平板等電子產(chǎn)品，以及大型計(jì)算機(jī)、服務(wù)器等組成的系統(tǒng)中都有開源軟件的身影．開源軟件的重要性主要具體表現(xiàn)出在：一方面市場上包含開源組件的軟件逐步增加，據(jù)美國弗雷斯特研究公司〔ForresterResearch〕統(tǒng)計(jì)，全球80%以上的應(yīng)用軟件使用了開源組件[1]，在能源、通信、金融、互聯(lián)網(wǎng)等行業(yè)內(nèi)這一比例甚至高達(dá)95%；另一方面軟件中開源代碼的比例不斷升高，2022年新思科技公司〔Synopsys〕通過對全球1200個(gè)商業(yè)代碼庫的分析發(fā)現(xiàn)，在包含開源成分的軟件中，開源代碼占代碼總量的平均比例由2021年的57%提高到了60%[2]．從不同行業(yè)領(lǐng)域來看，移動(dòng)互聯(lián)網(wǎng)行業(yè)這一比例為74%，網(wǎng)絡(luò)安全行業(yè)為70%，能源、金融、物聯(lián)網(wǎng)等行業(yè)開源代碼比例均在平均值60%以上．這些行業(yè)均是關(guān)系國計(jì)民生、公共利益的重點(diǎn)行業(yè)．當(dāng)前，國際上應(yīng)用的開源代碼大都把握在知名開源組織手中．這些開源組織主要包括：1)Apache基金會．Apache基金會成立于1999年，注冊地位于美國特拉華州．基金會主要由個(gè)人捐贈(zèng)和企業(yè)贊助商贊助構(gòu)成，主要任務(wù)是為其管理的開源軟件提供持續(xù)的技術(shù)支持．Apache基金會當(dāng)前收錄了包括HTTPServer,Hadoop,Tomcat等知名項(xiàng)目在內(nèi)的350多個(gè)開源項(xiàng)目，這些開源項(xiàng)目推動(dòng)了Web服務(wù)和大數(shù)據(jù)技術(shù)的快速發(fā)展．作為世界最大的開源組織，Apache基金會管理的代碼到達(dá)了2億多行．2)Linux基金會．Linux基金會成立于2000年，致力于促進(jìn)Linux操作系統(tǒng)及其生態(tài)的發(fā)展．基金會為Linux提供了一個(gè)有利于協(xié)作和推廣的開放代碼平臺，為解決軟件開發(fā)商和用戶面臨的Linux生態(tài)系統(tǒng)問題提供了基礎(chǔ)，促進(jìn)并保衛(wèi)了Linux的發(fā)展．Linux基金會內(nèi)部構(gòu)成了用于應(yīng)用程序開發(fā)的標(biāo)準(zhǔn)服務(wù)，推動(dòng)了Linux在全球的標(biāo)準(zhǔn)化．當(dāng)前，Linux項(xiàng)目的開源代碼量已經(jīng)超過2500萬行．3)OpenStack基金會．OpenStack基金會2020年在美國成立，其管理的最著名的開源項(xiàng)目為OpenStack云計(jì)算項(xiàng)目．OpenStack項(xiàng)目由美國國家航空航天局和云服務(wù)商Rackspace共同發(fā)起，旨在推動(dòng)云計(jì)算服務(wù)在全球的發(fā)展，為私有云和公有云提供可擴(kuò)展的彈性服務(wù)．OpenStack覆蓋了云計(jì)算基礎(chǔ)設(shè)施中的網(wǎng)絡(luò)、虛擬化、操作系統(tǒng)、服務(wù)器等各個(gè)方面，當(dāng)前已成為市場占有率最高的云計(jì)算解決方案．開源組織管理的大量開源代碼已廣泛應(yīng)用于日常使用的軟件中，支撐了網(wǎng)絡(luò)和信息系統(tǒng)的正常運(yùn)行．信息系統(tǒng)中主流的操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用軟件等產(chǎn)品均不同程度地嵌入了開源代碼．通過對相應(yīng)軟件產(chǎn)品的安裝包進(jìn)行反編譯及二進(jìn)制代碼檢測，往往能夠發(fā)現(xiàn)軟件代碼中的開源成分．我們通過對某款應(yīng)用范圍較廣的辦公軟件進(jìn)行二進(jìn)制代碼檢測，溯源分析后發(fā)現(xiàn)其開源代碼比例在22%以上，在開源代碼庫中匹配到了Zlib,TinyX-Path,cctz,libytnef,pugixml等29個(gè)開源組件，這些開源組件絕大部分出自美國的開源項(xiàng)目，牽涉GPL,ApacheLicense,BSD等開源許可證，相關(guān)代碼在GitHub,SourceForge等代碼托管平臺上進(jìn)行維護(hù)．2、開源軟件供給鏈的特點(diǎn)2.1、開源代碼管理具有開放性當(dāng)前，開源軟件項(xiàng)目主要有2種管理形式：一種為基金會主導(dǎo)形式，如Apache軟件基金會Hadoop項(xiàng)目、Linux基金會的Linux項(xiàng)目等；另外一種為企業(yè)主導(dǎo)形式，如谷歌的Android項(xiàng)目、微軟的VisualStudioCode項(xiàng)目等．基金會或企業(yè)通過將軟件源代碼在相應(yīng)社區(qū)及代碼托管平臺公開，供用戶使用、修改和溝通，以社會化協(xié)作的方式提高軟件生產(chǎn)效率，開發(fā)者只要遵循社區(qū)的規(guī)則都能夠?qū)Υa進(jìn)行訪問和修改．開放性促進(jìn)了開源的快速發(fā)展，但也帶來了代碼管理的一些問題，如代碼維護(hù)管理依靠開源社區(qū)、代碼安全性缺乏審核、很少有特定的人員專門負(fù)責(zé)修補(bǔ)安全漏洞等．2.2、開源許可證體系混亂值得注意的是，“開源〞并不代表“免費(fèi)〞，更不是“隨意用〞．開源項(xiàng)目在應(yīng)用經(jīng)過中通常需要綁定相關(guān)的許可證，開源許可證規(guī)定了開源代碼的知識產(chǎn)權(quán)所有人對于代碼使用者的限制條件，這些條件包括能否允許用于商業(yè)用處、能否允許用于某些特定領(lǐng)域、能否允許專利受權(quán)等，用戶選擇使用其開源代碼相當(dāng)于默認(rèn)接受相關(guān)的限制條件．當(dāng)前，國際上并未構(gòu)成統(tǒng)一的開源許可證體系，已經(jīng)知道存在的許可證就包括ApacheLicense,GPL,MIT,BSD等幾十種，其規(guī)定的限制條件各不一樣．在企業(yè)軟件開發(fā)經(jīng)過中，使用多個(gè)綁定不同許可證的開源組件，會導(dǎo)致許可證規(guī)則沖突，面臨法律風(fēng)險(xiǎn)[3]．如中國某公司曾因未公開Android系統(tǒng)相關(guān)代碼而被開源社區(qū)認(rèn)定違背其許可證規(guī)則，原因是Android系統(tǒng)綁定了Apache2.0許可證，該許可證不要求公開源代碼，但該公司在Android中參加了綁定GPLv2許可證的Linux內(nèi)核代碼，GPLv2許可證則要求修改后的代碼必須公開，而該公司并未公開．2.3、大部分開源軟件受美國法律管轄20世紀(jì)90年代開源概念在美國興起，在其政策主導(dǎo)下產(chǎn)生了Apache基金會、Google等開源組織和企業(yè)，以及Hadoop,Android等著名的開源項(xiàng)目．美國注冊的開源組織在運(yùn)營政策上基本都會遵守美國相關(guān)的法律法規(guī)．全球最大的開源基金會Apache軟件基金會在其運(yùn)營文件中就明確表示，其產(chǎn)品均是由在美國的服務(wù)器向外分發(fā)，須遵守美國(出口管制條例〕〔ExportAdministrationRegulation,EAR〕．隨著我們國家開源軟件的快速發(fā)展，國內(nèi)固然產(chǎn)生了一批開源組織和自建的代碼托管平臺，但仍然難以撼動(dòng)美國對開源軟件的絕對主導(dǎo)地位，當(dāng)前絕大部分開源代碼事實(shí)上仍然被美國控制．3、開源軟件供給鏈的安全風(fēng)險(xiǎn)網(wǎng)絡(luò)產(chǎn)品供給鏈的主要風(fēng)險(xiǎn)除了產(chǎn)品本身的安全性外，還包括產(chǎn)品使用后帶來的網(wǎng)絡(luò)和信息系統(tǒng)被非法控制、遭受干擾和毀壞、數(shù)據(jù)泄露的風(fēng)險(xiǎn)，以及產(chǎn)品供給渠道可靠性及能否可能因政治、外交、貿(mào)易等原因中斷供給的風(fēng)險(xiǎn)[4]．我們通過對某辦公軟件的開源成分進(jìn)行分析，同時(shí)結(jié)合其開源代碼安全、開源項(xiàng)目、托管平臺、法律政策等相關(guān)數(shù)據(jù)的收集，初步判定開源軟件在供給鏈安全方面存在3大風(fēng)險(xiǎn)．3.1、開源軟件漏洞難以管理，產(chǎn)品安全性面臨風(fēng)險(xiǎn)開源軟件因其代碼的公開性，在一定程度上降低了開發(fā)成本，提高了開發(fā)效率，但同時(shí)也帶來了安全風(fēng)險(xiǎn)．開源軟件的安全漏洞管理與其他商業(yè)軟件具有較大區(qū)別．商業(yè)軟件在發(fā)現(xiàn)漏洞后，通常會把修復(fù)補(bǔ)丁自動(dòng)推送給用戶，開源軟件則是被動(dòng)的“拉取形式〞，相關(guān)補(bǔ)丁需要人工安裝．若開發(fā)人員不對使用的開源代碼定期檢查，則相應(yīng)的安全漏洞會一直存在．隨著新代碼的參加，漏洞在代碼庫中將越積越多，漏洞平均年齡逐步增加，修復(fù)漏洞將變得耗時(shí)耗力．在這里次辦公軟件的開源成分分析中，通過匹配開源代碼漏洞庫，發(fā)現(xiàn)了libytnef等開源組件的堆溢出漏洞[5]等14個(gè)中高危漏洞，攻擊者可利用這些漏洞構(gòu)建惡意文件，入侵并癱瘓網(wǎng)絡(luò)系統(tǒng)．而開源代碼的開放性特點(diǎn)，使得代碼的漏洞人人可見，這當(dāng)中肯定也包括網(wǎng)絡(luò)攻擊者．在一些基礎(chǔ)開源代碼應(yīng)用范圍特別廣泛的情況下，開源的特點(diǎn)導(dǎo)致越來越多的開源代碼庫正在成為網(wǎng)絡(luò)犯罪的目的，攻擊者往往傾向于利用基礎(chǔ)開源代碼發(fā)動(dòng)1次行動(dòng)造成很多攻擊，而不是去攻擊每一個(gè)應(yīng)用．開發(fā)者甚至能夠存心故意開創(chuàng)建立惡意代碼，讓企業(yè)在不知情的情況下將惡意代碼納入其代碼庫中，構(gòu)成隱藏的風(fēng)險(xiǎn)．一旦不法分子利用開源軟件的漏洞對電信、能源、交通等行業(yè)的重要信息系統(tǒng)發(fā)動(dòng)攻擊，可能造成大范圍的社會基礎(chǔ)設(shè)施出現(xiàn)服務(wù)中斷，大量的個(gè)人信息和重要數(shù)據(jù)面臨泄露的風(fēng)險(xiǎn)．3.2、開源軟件知識產(chǎn)權(quán)面臨法律風(fēng)險(xiǎn)企業(yè)使用開源組件相當(dāng)于默認(rèn)接受開源許可證的限制條件，比方辦公軟件中使用的libytnef,js等開源組件使用了GPLv2許可證，該許可證限制了其產(chǎn)品應(yīng)用于特定行業(yè)領(lǐng)域．假如不遵守許可證規(guī)則將引起知識產(chǎn)權(quán)等問題上的法律糾紛，增加軟件遭禁用的風(fēng)險(xiǎn)，產(chǎn)品提供者將承當(dāng)高昂的軟件替代成本．而且，注冊于美國的開源組織產(chǎn)生的法律糾紛受美國的司法管轄．如js開源項(xiàng)目所屬的Mozilla基金會在服務(wù)協(xié)議[6]中明確其受美國加州法律管轄，相應(yīng)的索賠和糾紛應(yīng)在加州圣克拉拉縣法院提起訴訟．美國的屬地管轄不僅增加了相關(guān)法律訴訟的成本，也令使用這些開源代碼的企業(yè)和運(yùn)營者在知識產(chǎn)權(quán)問題上面臨眾多不確定性，在可能牽涉域外法律管轄時(shí)，相關(guān)的法律風(fēng)險(xiǎn)大大升高．3.3、開源代碼在美國出口管制下存在斷供風(fēng)險(xiǎn)開源代碼托管平臺GitHub在官方聲明[7]中明確表示，相關(guān)產(chǎn)品遵守美國EAR，包括禁止受制裁的國家和團(tuán)體訪問其服務(wù)，禁止其企業(yè)服務(wù)出售或出口至伊朗、朝鮮、敘利亞等受美國制裁的國家．此次分析的辦公軟件所使用的libytnef,pugixml,cctz等開源組件代碼就托管于GitHub．據(jù)公開報(bào)道，2022年就曾發(fā)生伊朗和俄羅斯克里米亞地區(qū)的GitHub用戶個(gè)人賬戶遭到封禁無法取回代碼的事件，這表示清楚GitHub已在美國出口管制要求下展開行動(dòng)．美國EAR將開源代碼的出口劃分為2類[8]：一類是“公開可獲得〞〔publiclyavailable〕的不帶加密功能的軟件源代碼，不受出口管制；另一類是公開可獲得的帶加密功能的軟件源代碼〔出口控制等級編號ECCN為5D002〕，雖不會被限制出口，但需符合備案要求．當(dāng)前，知名的Tomcat,Hadoop等開源項(xiàng)目都被劃定為ECCN5D002，相當(dāng)于備案后可不受管制．總體來講，開源軟件在正常情況下屬于“公開可獲得〞的軟件，即便開源組織在政策上聲明遵從美國EAR要求，當(dāng)前尚不會被限制出口．但假如美國調(diào)整EAR規(guī)則，將含有開源成分的重點(diǎn)軟件參加到管制名單，或修改當(dāng)前“備案后不受管制〞的條款，大量核心的開源項(xiàng)目將面臨出口管制的限制，我們國家軟件開發(fā)者獲取相關(guān)開源代碼將非常困難，相關(guān)產(chǎn)品的軟件供給鏈將面臨極大的斷供風(fēng)險(xiǎn)．2020年1月6日，美國商務(wù)部就通過更新EAR將“用于自動(dòng)分析地理空間圖像的軟件〞〔出口控制等級編號ECCN為0Y521〕列入管制范圍，智能化傳感器、無人機(jī)、衛(wèi)星等目的辨別軟件都在限制范圍之內(nèi)，美國企業(yè)必須得到許可后才能出口這些軟件到中國等目的地．在2022年美國將華為公司列入出口管制“實(shí)體清單〞后，谷歌即公布停止向華為提供基于Android系統(tǒng)的更新服務(wù)及應(yīng)用．固然谷歌對華為的“斷供〞并不牽涉安卓開源項(xiàng)目AOSP(AndroidOpenSourceProject〕，但是美國相關(guān)開源組織和平臺的“集體行動(dòng)〞，不得不讓我們開場對開源軟件供給鏈面臨的斷供風(fēng)險(xiǎn)予以重視．2020年3月，國際開源芯片技術(shù)組織RISC-V基金會就公布將總部從美國特拉華州遷往瑞士[9]．其負(fù)責(zé)人表示，固然當(dāng)前基金會的全球合作尚未遭到影響，但基于對美國貿(mào)易限制的擔(dān)憂及成員可能面臨的地緣政治毀壞，仍然決定將基金會的注冊地遷出美國．在當(dāng)下中美貿(mào)易摩擦尚未結(jié)束、美對我相關(guān)企業(yè)的制裁并未解除的大背景下，美國對其出口管制規(guī)定的不斷調(diào)整，將導(dǎo)致開源軟件因政治、外交、貿(mào)易等因素供給中斷的風(fēng)險(xiǎn)增大．4、對策建議隨著開源軟件的廣泛應(yīng)用，開源安全風(fēng)險(xiǎn)日益凸顯．為有效控制網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，保障重要信息系統(tǒng)承載的業(yè)務(wù)安全：一是網(wǎng)絡(luò)安全檢測認(rèn)證機(jī)構(gòu)需加強(qiáng)開源軟件安全評價(jià)技術(shù)及方式方法研究，利用軟件代碼分析等工具準(zhǔn)確辨別網(wǎng)絡(luò)產(chǎn)品中的開源成分，分析開源代碼安全性，為安全評估提供重要的手段支撐．二是企業(yè)應(yīng)提高開源軟件供給鏈安全意識，充分評估開源軟件許可證沖突及軟件供給中斷的法律風(fēng)險(xiǎn)，加大自主創(chuàng)新投入[10]，提高代碼自主水平，推動(dòng)構(gòu)建國產(chǎn)開源生態(tài)，完善安全、可靠、多源的軟件供給鏈安全保障體系．以下為參考文獻(xiàn)[1]劉權(quán),王