◎本報記者 劉園園
今天��,你打開了多少個軟件����?
我們被軟件叫醒,用軟件打車�����、點外賣�、購物,借助各種軟件開展工作���,夜晚又聽著軟件中的音樂睡去。各種各樣的軟件方便����、快捷、高效���,甚至有趣����、好玩�,讓我們愛不釋手���。可是��,它們安全嗎�?
今年兩會,多位來自互聯(lián)網(wǎng)領(lǐng)域的代表委員們敲響警鐘:在軟件隨指可觸的今天��,其背后的安全風險亟待加強防范��。
平均每個代碼庫約有158個漏洞
“全球范圍內(nèi)90%以上的云服務(wù)器操作系統(tǒng)���、80%以上的移動操作系統(tǒng)都基于開源軟件�����!比珖䥇f(xié)委員、360集團創(chuàng)始人周鴻祎今年尤其關(guān)注開源軟件存在的安全風險����。
在周鴻祎看來,只要是人寫的軟件就一定有漏洞�,開源軟件也不例外。他介紹�,平均每個代碼庫約有158個漏洞�����,這些漏洞會被繼承下來���,進而影響到軟件本身的安全。
“現(xiàn)代軟件業(yè)高度依賴于開源體系存在�。開源代碼及其所使用的代碼托管服務(wù)已經(jīng)是軟件安全工程體系的重要組成部分�����!比珖䥇f(xié)委員���、安天集團創(chuàng)始人肖新光也對此高度關(guān)注�。
肖新光說��,近年多次出現(xiàn)開源軟件漏洞�����、開源項目污染和維護者刪除代碼等安全事件���;相關(guān)國家將開源平臺作為制裁他國之手段的情況更值得警惕����。
“開源軟件開發(fā)人員來自不同國家�����、不同背景����,源代碼的查看、修改���、增加權(quán)限較為開放��,很容易被植入‘后門’�����。同時�,業(yè)界對開源代碼很多是直接拿來使用�����,或只做些小修小補,因此很容易埋下未知的安全風險�。”周鴻祎說���。
令周鴻祎擔憂的是����,我國銀行����、能源、國防����、醫(yī)療、電力等重要行業(yè)運行的系統(tǒng)大量使用開源軟件���。而開源軟件由于生態(tài)開放�����,其中存在的大量安全漏洞風險如果被惡意利用,足以撼動我國關(guān)鍵信息基礎(chǔ)設(shè)施的安全�。
對關(guān)鍵信息基礎(chǔ)設(shè)施開展“摸底”
其實,不唯獨開源軟件,整個軟件領(lǐng)域的安全風險問題都不容忽視�。
“現(xiàn)代軟件開發(fā)交付過程極為復(fù)雜,涉及到編譯環(huán)境和各種類庫����、開源代碼、公用開發(fā)包��、中間件等��,軟件交付過程中涉及復(fù)雜的支撐關(guān)系��������! 肖新光提到����,軟件成分和依賴關(guān)系缺乏透明性以及缺少安全驗證機制支撐��,導(dǎo)致軟件缺陷���、隱藏威脅的影響范圍難以追溯跟蹤���。
另一方面����,肖新光指出�����,目前軟件開發(fā)安全標準規(guī)范落后����,無法覆蓋全生命周期,在軟件規(guī)劃�、需求定義、設(shè)計開發(fā)和對應(yīng)的測試驗證環(huán)節(jié)仍有極大提升空間��。針對軟件安全的保障機制和標準尚未形成統(tǒng)一體系�。
面對這些現(xiàn)狀和問題,代表委員們提出不少對策��。
周鴻祎建議���,對關(guān)鍵信息基礎(chǔ)設(shè)施和重要信息系統(tǒng)開展普查��,摸清開源軟件使用情況“家底”��,精確掌握其類型�����、協(xié)議��、來源等基礎(chǔ)信息�,并進行系統(tǒng)漏洞挖掘���,布局安全風險管理�。
“建議建立軟件企業(yè)安全責任制�����,明確軟件企業(yè)承擔起開源軟件的全生命周期安全管理����������!敝茗櫟t還提出�����,鼓勵中國軟件開發(fā)者積極參與國際開源社區(qū),促進國際開源軟件的漏洞挖掘��。
“建議主管部門牽頭�����,在重點行業(yè)領(lǐng)域建立推動軟件供應(yīng)鏈透明化機制��。同時將對應(yīng)的檢測與驗證能力作為關(guān)鍵軟件�、設(shè)備和系統(tǒng)的強制要求����!毙ば鹿庹f。
肖新光補充道���,在加快軟件業(yè)開源生態(tài)構(gòu)建的同時�����,應(yīng)推動系列專項工程���,強化開源生態(tài)安全和軟件生態(tài)安全��,并建立對應(yīng)安全監(jiān)測機制�����。此外,還應(yīng)制定以軟件安全保障為首要目標的系列工程推薦標準和強制要求���。
