网易首页 > 网易号 > 正文 申请入驻

OSCAR联合三大行业开源社区发布《开源安全深度观察报告》,关注开源安全防范举措

0
分享至

开源安全已经成为全球化挑战,开源安全漏洞与后门植入、隐私信息泄露等安全问题层出不穷。为了让企业安全地使用开源软件,更好地应对开源安全威胁,云计算和开源产业联盟基于对开源产业的持续深入研究,在2022年首次发布《开源安全深度观察报告》。

此报告由中国信通院牵头,中国建设银行、建信金融科技有限责任公司、华为技术有限公司、华为云计算技术有限公司、中兴通讯股份有限公司、中电科拟态安全技术有限公司、深圳开源互联网安全技术有限公司、新思科技、悬镜安全、北京天融信网络安全技术有限 公司、苏州棱镜七彩信息科技有限公司、国网电商科技有限公司、统信软件技术有限公司、浩鲸云计算科技股份有限公司等国内多家行业头部企业共同参与编制。

在5月20日召开的“OSCAR开源先锋日”上,中国信通院正式发布《开源安全深度观察报告》并进行深度解读。此白皮书从开源安全的现状、趋势、市场、技术、实践等多维度出发,对全球和国内开源安全领域进行了全面、深度的剖析,为企业提供了开源安全治理的最佳指南。

以下是白皮书主要内容及核心观点:

观点一

全球开源生态发展迅速

近年来,全球开源项目数量爆发式增长,企业逐渐重视对外开源贡献。随着企业开源软件应用比例逐年提升,开源已成为构建企业信息技术重要底座。根据中国信通院调查显示,2021年我国已经使用开源技术的企业占比为88.2%,暂未计划使用开源技术的企业占比为2.1%。

观点二

开源安全风险严重威胁全球企业信息和财产安全

随着开源软件成为各行业构建信息系统的主流趋势,且开源软件迭代快、安全开发机制欠缺、维护人手不足等现状,导致全球开源安全事件频发,威胁着全球信息安全,也带来了隐私信息泄露的风险。因此,开源安全风险已成为经成为企业全球化挑战,是企业开源首要关注的风险点,其中包括开源漏洞风险、开源后门植入风险和开源隐私信息泄露风险。

观点三

全球开源安全防范措施愈加严格,我国逐步深入探索

从全球看,多国已发布开源安全防范政策,开源安全组织已开始探索开源社区安全保障,构建安全开发衡量标准,头部科技公司也较早建立了开源安全防范体系,在国家、开源组织

企业等多个层面合力应对开源安全威胁。

在我国,开源安全防范逐步深入探索,相关举措已陆续发起。在政府层面,多政策提及开源安全防范要求;在开源安全组织层面,如中国信通院已创建“可信开源”品牌,开展了开源安全标准化制定等多项工作,为企业规范开源治理提供指引。在开源社区层面,国内部分活跃度高的开源社区陆续设立开源安全漏洞治理组,以保障社区安全治理。在企业层面,金融与出海企业开源安全防范体系落地较早,金融机构已普遍制定开源安全策略应对开源安全风险。

观点四

开源安全防范,需兼顾上游开源社区与下游开源用户

针对上游开源社区,可从以下五个方面提高开源安全防范能力:

第一,开源社区应对社区运营的开源软件提供安全开发规范指引,包括输入数据安全规范、编程习惯规范、异常处理规范及数据库使用规范等。

第二,开源社区需进行开发过程全流程安全扫描与识别,例如:在开发阶段进行开源软件引入选型,同时建立安全编码要求;在测试阶段进行安全测试、代码扫描、模糊测试和渗透测试审查敏感数据、安全隐私、漏洞等问题并及时进行修复;在开源前进行发布阶段安全检查,确保开源软件开源或新版本发布之前具有明确的病毒扫描、完整性检查要求等。

第三,开源社区需建立漏洞响应机制提高漏洞修复效率,根据安全漏洞情况,持续更新漏洞内/外部影响范围,如遇问题应及时组织相关人员对漏洞进行修复。

第四,开源社区应持续进行健康度监测保障社区安全运维能力,检查开源软件所在社区具备组织多样性、贡献多样性、社区活跃度。

第五,开源社区应进行分支版本与工作流管理提高开源安全,例如:社区的开发需要根据自己的项目规模和项目维护的策略,选择自己项目的工作流;下游的开发可能在局部采取不同于上游的工作流,缺陷修复遵循上游优先的原则,先在上游修复等。

针对下游开源用户企业,需建立开源安全问题修复措施,在隐私信息泄露防范方面需做好出口管理。

在修复措施方面,可考虑四个方面:第一,安全漏洞和后门植入需按照轻重缓急应修尽修;第二,漏洞评估与解读首先为用户企业提供漏洞全貌;第三,受影响组件分析为用户企业梳理漏洞修复优先级;第四,修复方案制定应结合用户企业实际情况实施,优先考虑升级修复,并参考两大原则:一是安全检测“左移”;二是若系统已上线,“先评估后整改”。

在隐私信息泄露防范方面,首先,开源运营方应对开源软件产品及服务建立隐私信息安全监控防护机制。其次,开发者在使用开源代码时,应注意各类语言的开发习惯,尽量避免底层的逻辑设计漏洞、内存漏洞、缓冲区漏洞等,确保将隐私信息处于安全保护状态。最后,贡献开源技术的企业贡献者也应遵循保护核心代码、隐私信息保密,不可将其直接上传至开源社区,上传至开源社区的代码也应进行有效脱敏去核。

观点五

联合政产学研各方力量,共建安全可信的开源创新生态

开源软件安全是动态发展的,需要联合多方力量共同建设安全可信的开源创新生态。从国家层面,建议国家和行业监管部门继续完善和制定开源安全相关的政策;从组织层面,统筹考虑建立开源软件安全标准化体系;从个人和企业层面,联合国内科技企业和社会力量,不断提高自身开源代码安全开发能力,并积极配合开源软件安全相关的政策、标准,共同打造安全可信的开源生态环境。

更多精彩,敬请阅读《开源安全深度观察报告》全文。(附报告)

参与开源安全后续计划请联系:

李晓明 lixiaoming1@caict.ac.cn

特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。

Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.

相关推荐
热点推荐
豆包、千问将于7月15日下线智能体功能:建议用户提前备份数据

豆包、千问将于7月15日下线智能体功能:建议用户提前备份数据

澎湃新闻
2026-07-04 13:28:27
祝贺!发射成功

祝贺!发射成功

新浪财经
2026-07-04 20:42:20
古代通房丫鬟到底有多惨?陪老爷不算,还被用来干一件“恶心”事

古代通房丫鬟到底有多惨?陪老爷不算,还被用来干一件“恶心”事

掠影后有感
2026-05-17 11:00:03
4个窝点被捣毁,伊朗出手很快,三部门强势联合,美以别想套情报

4个窝点被捣毁,伊朗出手很快,三部门强势联合,美以别想套情报

人间无味啊
2026-07-05 04:35:15
王金平出手了,确认有大动作,郑丽文迎来强援!韩国瑜意外受瞩目

王金平出手了,确认有大动作,郑丽文迎来强援!韩国瑜意外受瞩目

世界新趋势
2026-07-05 04:18:25
卖香皂的日本花王,凭什么成为半导体隐形玩家?

卖香皂的日本花王,凭什么成为半导体隐形玩家?

正解局
2026-07-03 16:52:54
中泰空军对抗训练再回首:性能落后太多,歼11在多方面被对方碾压

中泰空军对抗训练再回首:性能落后太多,歼11在多方面被对方碾压

史行途
2026-07-01 22:30:22
清华教授回应蒋方舟指控其网暴、造黄谣、泄隐私:欢迎蒋方舟直接诉诸法律,希望她提供我在法庭上澄清这“三宗罪”的机会

清华教授回应蒋方舟指控其网暴、造黄谣、泄隐私:欢迎蒋方舟直接诉诸法律,希望她提供我在法庭上澄清这“三宗罪”的机会

都市快报橙柿互动
2026-07-04 20:57:39
中方被做局了?一边加息一边放水,放任日元疯狂贬值是瞄准中国!

中方被做局了?一边加息一边放水,放任日元疯狂贬值是瞄准中国!

阿讯说天下
2026-07-04 15:03:44
美国大满贯最新战报:世界亚军连败,日本队双胜

美国大满贯最新战报:世界亚军连败,日本队双胜

陈赩爱体育
2026-07-05 02:17:17
LED幕墙现巨型空调 制冷16°C还上下扫风 网友:太会整活了

LED幕墙现巨型空调 制冷16°C还上下扫风 网友:太会整活了

快科技
2026-07-02 18:09:39
我买房后,父母在隔壁买套小两居给弟弟,隔天回家看房本我傻了!

我买房后,父母在隔壁买套小两居给弟弟,隔天回家看房本我傻了!

麦子情感故事
2026-07-05 00:23:10
公务员们悄悄在用的电脑操作系统,体制外再馋也没用

公务员们悄悄在用的电脑操作系统,体制外再馋也没用

基本常识
2026-07-04 09:58:10
上海惊现江苏一“飞地”,行政上隶属南通,房价却是上海的零头

上海惊现江苏一“飞地”,行政上隶属南通,房价却是上海的零头

老覃讲历史
2026-07-04 20:03:04
燃尽,对佛得角一役,阿根廷队内6人跑动距离超10公里

燃尽,对佛得角一役,阿根廷队内6人跑动距离超10公里

懂球帝
2026-07-04 17:13:06
如果罗荣桓、陈赓可以多活10年,可能后面就不会发生那些事情了

如果罗荣桓、陈赓可以多活10年,可能后面就不会发生那些事情了

墨策讲历史
2026-07-04 02:00:05
看完这7件事,我终于懂了:中国足球的离谱,早就超出了人类认知

看完这7件事,我终于懂了:中国足球的离谱,早就超出了人类认知

圣西罗的太阳
2026-04-23 13:24:10
世界杯16强格局:欧洲+美洲独占14席,亚洲球队全军覆没

世界杯16强格局:欧洲+美洲独占14席,亚洲球队全军覆没

橙汁的味道123
2026-07-04 11:32:26
固态电池神话彻底破灭,中科院曾连发"王炸",电池行业迎来变局

固态电池神话彻底破灭,中科院曾连发"王炸",电池行业迎来变局

黑翼天使
2026-06-24 13:56:28
国葬上,欠着伊朗人血债的塔利班,摇身一变成了德黑兰的座上宾

国葬上,欠着伊朗人血债的塔利班,摇身一变成了德黑兰的座上宾

凡知
2026-07-04 15:30:58
2026-07-05 07:04:49
中国IDC圈
中国IDC圈
互联网行业权威的媒体平台
4807文章数 4036关注度
往期回顾 全部

科技要闻

韬定律论文V2版,充工程细节和实测数据

头条要闻

老人被一次拔12颗牙种10颗:能刷的钱都刷走 只剩30块

头条要闻

老人被一次拔12颗牙种10颗:能刷的钱都刷走 只剩30块

体育要闻

揭法国锋线最大优势 有人比姆巴佩还快?

娱乐要闻

白鹿打戏抠图惹非议 连累丞磊遭扒皮

财经要闻

韩国股市杠杆失控:450亿美元资金狂飙

汽车要闻

方程豹钛9内饰曝光 用上了长联屏设计/下半年上市

态度原创

旅游
艺术
数码
本地
公开课

旅游要闻

山野逐夏 乐享清凉!五莲黑虎山盛夏欢乐季火热启幕

艺术要闻

八大山人迷之印章 你认得几个?

数码要闻

苏姿丰签名同款!极摩客EVO-X3 AI工作站全球开卖:国行版21699元起

本地新闻

国内足球之旅?这座小城给你高分答案

公开课

李玫瑾:为什么性格比能力更重要?

无障碍浏览 进入关怀版