11 月 6 日-8 日，2022 国际开源节在深圳福田会展中心隆重召开，这是一场属于开源的科技盛宴，也是开源技术创新交流的大舞台。在 11 月 7 日的 OpenSSF 开源安全中国峰会的分会场上，上海安势信息技术有限公司资深解决方案架构师朱贤曼发表了题为《企业如何应对开源软件供应链安全问题》的精彩演讲，以下是部分现场分享内容：

近年来，开源生态发展势头迅猛，在推动技术创新、促进产业协作、加快各行业数字化进程方面发挥的作用日益凸显。在现代的开发模式中，开源可以说无所不在。随着软件产业的快速发展，软件供应链也越发复杂多元，软件供应链安全问题的严峻性已成为各方共识。

软件供应链的复杂性

什么是软件供应链？

传统的供应链（Supply chain）是指生产及流通过程中，涉及将产品或服务提供给最终用户活动的上游与下游企业所形成的网链结构，即将产品从商家送到消费者手中的整个链条。如下图所示，软件供应链的生产环节涉及开发人员、硬件制造商等多个环节和背后提供相关支持服务的多家公司，其复杂性不言而喻。我们可以将软件供应链定义为参与开发应用程序的所有组件的开发、构建和软件产品分发的过程。

软件供应链的构成有哪些？

硬件和基础设施操作系统编译器和编辑器云服务和数据中心驱动和依赖项开源脚本和打包好的软件代码仓库引擎、测试套件以及 CI/CD 工具

开源软件供应链面临哪些风险

现如今，混源开发模式已成为常态，开源软件的使用比例越来越高。但开源对安全是双刃剑。以史诗级漏洞 Log4j 为例，影响 6 万+开源软件, 1,800 多种产品，全球超过 40%的企业网络都遭遇了漏洞利用攻击。朱贤曼指出：“不及时发现和处理安全漏洞可能导致数据泄露、资产受损、产品下架、监管处罚、被勒索等严重后果。”

开源软件存在的安全风险除了来自于开源软件自身，还有软件供应链攻击。随着现代软件和基础设施对第三方资源的依赖，针对软件供应链的攻击正以每年 4-5 倍的速度增长，仅在 2021 年就发生了几千次。如下图所示，软件供应链攻击无所不在，包括但不限于：提交恶意代码、污染源代码托管平台、编译篡改过的代码、污染构建环境、使用恶意的依赖、上传不是由 CI/CD 生成的包、篡改包仓库、使用恶意包等。

近年来爆发的 SolarWinds 网络攻击事件和混淆攻击，对国家安全、企业安全、个人隐私等各个方面造成了严重破坏，为我们敲醒了警钟。

企业如何应对开源软件供应链安全问题

随着软件供应链攻击浪潮愈演愈烈，那么企业该如何应对开源软件供应链中的安全挑战？

朱贤曼表示：“企业做开源合规治理，最重要的就是先具备安全合规意识，这个是基础，甚至比其他层面还要重要。在树立安全合规意识的基础上，企业需要搭建开源治理体系，整体管控软件供应链风险。“

针对软件开发过程中使用的规模愈趋庞大与复杂的开源组件，朱老师建议企业从以下五个方面着手应对开源软件供应链安全问题：

【使用前】主动预防，建立准入机制，确保来源可靠

【使用中】持续扫描和整改，维护完整的企业资产树和 SBOM 清单

【生产过程中】保护各生产环节，提供可信证据

【维护】建立应急响应机制，持续跟踪漏洞，快速响应

【维护】全生命周期管理，定期更新和适时退出

目前国内偏大型公司在开源治理方面做的比较好，中小公司更多的还是会优先关注产品功能等问题。但可以看到的是，这几年国内对于开源的讨论越来越多，相信会有更多的人开始关注开源合规与安全问题。

作为守护软件供应链安全的一员，朱贤曼表示：“我们很荣幸能够参与共建中国开源软件供应链安全事业，也欢迎更多志同道合的伙伴加入我们，一起拥抱开源。未来，我们也将继续携手客户与合作伙伴共建一个和谐的开源生态。“

文章未经授权请勿转载。如有转载需求，请事先联系：marketing@sectrend.com.cn

关于安势信息

上海安势信息技术有限公司成立于 2021 年，致力于解决软件供应链中的安全和合规问题，目前已完成数千万元天使轮融资。作为中国领先的软件供应链安全治理工具提供商，安势信息以 SCA（软件成分分析）产品作为切入点，围绕 DevSecOps 流程，着力于从工具到流程再到组织，坚持持续创新，打造独具特色的端到端开源治理最佳实践。欢迎访问安势信息官网www.sectrend.com.cn或发送邮件至 info@sectrend.com.cn垂询。