新年伊始，谈谈开源软件供应链安全的新趋势

近年来，开源软件（OSS）的使用变得越来越普遍，许多组织依赖它作为其 IT 基础设施的重要组成部分。然而，开源软件供应链安全已成为各组织的主要关注点，因为使用开源软件会给其系统带来漏洞和安全风险。在 2023 年，开源软件供应链安全有几个新趋势，组织需要注意。

• 对供应链风险管理（SCRM）的关注度越来越高

SCRM 是开源软件供应链安全的一个重要方面，因为它涉及识别、评估和减轻与使用开源软件有关的风险。2023 年，随着各组织寻求解决与开源软件相关的安全风险，人们将越来越关注 SCRM。这将涉及使用工具和技术，如威胁建模、漏洞评估和风险管理框架，以识别和减轻风险。

• 关注开源许可证的合规性

开源许可证已变得越来越复杂，使企业难以确保合规。为了应对这一挑战，人们越来越关注开源供应链中的开源许可证合规性，包括使用能够自动跟踪和管理开源许可证的工具，以及开发开源许可证合规性的最佳实践。

• 持续集成和持续交付（CI/CD）的使用越来越多

CI/CD 是一种软件开发实践，使企业能够快速、可靠地发布软件更新和改进。在 2023 年，随着组织寻求加快其软件开发和交付流程，CI/CD 的使用预计将增加。这将有助于组织快速识别和解决其开源软件组件中的任何漏洞，并快速响应安全事件。

• 重视开源安全最佳实践

为了解决与开源软件相关的安全风险，组织将需要采用最佳实践来保护开源软件组件的安全。这将包括使用安全工具和技术，如静态分析、动态分析和代码审查，以识别和解决开源软件组件的漏洞。组织还需要采用管理开源软件组件的最佳实践，如创建软件物料清单（SBOM）和使用自动化工具来跟踪开源软件组件的使用。

• 拥抱开源安全社区

2023 年，企业将拥抱开源安全社区，作为其开源软件供应链安全战略的关键组成部分。这将涉及参与开源安全项目，为以安全为重点的开源社区做出贡献，并与其他组织分享安全信息和最佳实践。这将有助于组织了解最新的安全威胁和漏洞，并与其他组织合作应对这些威胁。

• 采用自动化安全工具

在 2023 年，自动化安全工具将变得越来越重要，因为组织寻求改善其 OSS 组件的安全性。这些工具将被用于自动化开源软件供应链安全流程的各个方面，如组件发现、漏洞评估和风险管理。这些工具的使用将帮助企业简化其 OSS 安全流程，并更快、更有效地识别和解决安全风险。

• 使用基于云的开源软件管理平台变得越来越广泛

2023 年，组织将越来越多地采用基于云的开源软件管理平台，以提高其开源软件组件的安全性。这些平台将为企业提供一个集中的开源软件组件库，并帮助企业更有效地管理和保护这些组件。这将包括使用自动化工具进行组件发现、漏洞评估和风险管理，以及将安全最佳实践纳入平台。

总之，开源软件供应链安全格局正在迅速演变，企业需要在 2023 年意识到这些新趋势，以应对与开源软件相关的安全风险。通过采用保护开源软件组件的最佳实践，与安全社区合作，使用自动化安全工具，并接受基于云的开源软件管理平台，组织可以提高其开源软件组件的安全性，减少安全事故的风险并且合规的使用开源软件。

本文由 ChatGPT 完成

接下来就最近火爆全网的 ChatGPT 平台谈谈我的看法，ChatGPT 是人类科技发展的必然产物，但在积极拥抱新事物的同时，合理、合法地使用更为重要。

• 事物的两面性

ChatGPT 展示了人类史上科技领域软件和硬件发展的最高水准，有业界消息称，ChatGPT 已导入了至少 1 万颗英伟达高端 GPU，总算力消耗约 3640PF-days(即每秒一千万亿次计算，运行 3640 个整日)。ChatGPT 通过将优质的人工标注数据 + 强化学习作为底层逻辑，以及大规模语料 " 投喂 " 后不断进行学习和迭代，最后依托于强大的算力为产品学习和输入输出进行支撑。

任何事物都有两面性。

我们在受益于 ChatGPT 带来的便捷、高效、准确的同时，也要正视它带来的风险，比如美国北密歇根大学的学生使用 ChatGPT 完成哲学课的论文并获得全班最高分这一事件便引发了教育界对于合理利用 AI 的思考。针对 ChatGPT 带来的抄袭问题，OpenAI 官方也开发了 AI Text Classifier 来检查相应的文字是否由 AI 生成。

• 开源软件也面临同样的挑战

如今，开源软件的广泛使用已经成为软件技术创新的加速引擎和协同发展的重要模式。然而，随着开源软件的使用范围不断扩大，安全与合规成为了管理开源软件非常重要的课题。

使用开源软件进行应用开发的情况每年都在持续增长，开源代码被广泛用于几乎所有形式的商业和内部软件。根据 Forrester 的报告，所有行业的各种规模的组织都在使用开源软件。

原因很简单--开源降低了开发成本，加快了上市时间，并加速了创新。但开源软件与自研代码一样都有很严重的安全性风险，并且开源代码的某些特点使一些广泛使用的组件漏洞对黑客来说非常有吸引力。对于黑客来说，寻找开源漏洞的投资回报率很高。一个漏洞就可以被利用来破坏成百上千的应用程序和网站。另外，许可证合规性也是使用开源软件带来的另一潜在风险。

• 清源 CleanSource SCA

针对开源安全与许可证合规问题，组织可以使用 SCA（Software Composition Analysis，软件成分分析）工具来进行相关安全漏洞与许可证合规风险的排查。

清源(CleanSource) SCA 可帮助企业构建准确的 SBOM (软件物料清单), 提供清晰的软件成分可视性分析，降低和管理应用或容器中因使用开源软件和其他第三方代码（软件） 引入的安全、质量与许可证合规性风险。

👇👇👇点击链接👇👇👇

 https://www.sectrend.com.cn/sqsy

一键试用清源 CleanSource SCA

• 唯一永恒的就是“变化”

ChatGPT 无疑在引领一股全球范围的人工智能旋风，虽然它本身仍有巨大的局限性，但是我们不难看到，它的出现或者说人工智能 AI 终将对一些行业产生巨大且深远的变革。这不禁让人联想：越来越强大的计算机、软件和机器人，是否会最终在某些领域替代人类？最近我时常想起之前在美国工作的时候老板说的一句话，“Do More Meaningful Work”，如果说 ChatGPT 能帮助我们完成那些 Less meaningful 的工作，让我们能更聚焦更有价值的工作，未尝不是一件好事。

世间万事万物都在变化之中，唯一永恒的就是“变化”。

对我们个体而言，如何调整心态，积极拥抱变化或许是我们首先需要考虑的；其次是思考如何提升我们解决复杂问题、批判性思维、创造力、沟通能力等 AI 无法取代的技能。那一天，或许我们将不再担心被人工智能取代。