近日,美政府與37家科技大廠、開源社群繼續召開了開源軟件安全峰會,包括亞馬遜、谷歌、微軟、威睿、戴爾、英特爾、摩根大通、GitHub等,以及多個美國政府機關的官員出席。這樣的組合,足見各方對於防范開源軟件安全的重視。#開源軟件#

事實上,全球范圍內90%以上的雲服務器操作系統、80%以上的移動操作系統都基於開源軟件。但是由於開源軟件開發人員來自不同國家、不同背景,源代碼的查看、修改、增加權限較為開放,很容易被植入“後門”。甚至,業界對開源代碼很多是直接拿來使用,或只做些小修小補,因此很容易帶入未知的安全風險。

上周五,俄羅斯總統普京發言表示,由於外國“國家機構”對俄的網路攻擊數量增加了數倍,俄羅斯必須通過減少使用外國軟件和硬件來加強其網路防禦。雖然沒有明確提到開源軟件,但可以看到一些國家完全可以利用所掌控軟件項目的核心資源,進行情報滲透活動,甚至將之用於網路戰。#俄烏局勢觀察團#

而我國銀行、能源、國防、醫療、電力等重要行業運行的系統,也大量使用開源軟件。如果被惡意利用,足以撼動我國關鍵訊息基礎設施的安全。#國家對關鍵訊息基礎設施實行重點保護# #數字安全#

所以,如果開源軟件的安全隱患不解決,國家關鍵訊息基礎設施安全也將如建立在沙灘上的城堡,面臨著“平時被控、戰時被癱”的現實風險。那麼,如何防范開源軟件安全,我建議:
一是開展對開源代碼的系統性漏洞挖掘,構建開源代碼的安全風險評估機制。
二是建立軟件企業安全責任制,明確軟件企業承擔起開源軟件的全生命周期安全管理。
三是積極參與國際開源社區,促進國際開源軟件的漏洞挖掘。

全站最新消息

d