從開源組件安全現狀談開源治理(lǐ)實踐
據Gartner表示,現代軟件大(dà)多(duō)數是被組裝出來(lái)的(de),而不是被開發出來(lái)的(de)。據不完全統計,一個(gè)應用(yòng)的(de)開源組件占整個(gè)應用(yòng)的(de)60%,剩下(xià)的(de)40%由業務代碼、配置文件、構建腳本、靜态資源等數據構成。在軟件開發過程中開源組件的(de)使用(yòng)越來(lái)越廣泛,其地位也(yě)越來(lái)越重要。
據Gartner表示,現代軟件大(dà)多(duō)數是被組裝出來(lái)的(de),而不是被開發出來(lái)的(de)。據不完全統計,一個(gè)應用(yòng)的(de)開源組件占整個(gè)應用(yòng)的(de)60%,剩下(xià)的(de)40%由業務代碼、配置文件、構建腳本、靜态資源等數據構成。在軟件開發過程中開源組件的(de)使用(yòng)越來(lái)越廣泛,其地位也(yě)越來(lái)越重要。
2022年1月(yuè)13日,美(měi)國聯邦機構聯合谷歌(gē)、亞馬遜等一衆科技公司,基于Log4j漏洞開展了(le)一場(chǎng)關于開源軟件安全問題的(de)重要討(tǎo)論。不得(de)不提到的(de)是 ,這(zhè)次會議(yì)明(míng)确指出了(le)改進軟件安全和(hé)提升軟件供應鏈的(de)透明(míng)度是解決這(zhè)類風險的(de)關鍵要素。
随著(zhe)“軟件定義一切”時(shí)代的(de)到來(lái),以及容器、微服務、雲原生等新興技術在軟件行業的(de)普及應用(yòng),幾乎所有的(de)軟件産品已使用(yòng)或包含了(le)開源組件/軟件,相應的(de)軟件供應鏈攻擊事件也(yě)日益增長(cháng)。
現如今,是“軟件定義一切”的(de)時(shí)代,軟件已然成爲人(rén)類社會基礎設施的(de)一部分(fēn),與個(gè)人(rén)生活、社會民生、國家發展高(gāo)度融合。而大(dà)力發展信創是我國目前重要的(de)一項國家戰略,爲當今形勢下(xià)國家經濟發展注入了(le)新動能。
近年來(lái),數字經濟發展如日方升,人(rén)們在享受網絡便捷服務的(de)同時(shí),也(yě)面臨著(zhe)一系列新的(de)風險。“如何保障數據安全”成爲了(le)人(rén)們關注的(de)熱(rè)點話(huà)題。距離《數據安全法》正式實施還(hái)有不到一個(gè)月(yuè)的(de)時(shí)間,随著(zhe)一連串的(de)敏感事件的(de)發生,網絡安全的(de)熱(rè)度被推向了(le)一個(gè)高(gāo)潮。國家政策一個(gè)又一個(gè)的(de)出台,力促數據應用(yòng)合規化(huà)、數據交易規範化(huà)、數據保護常态化(huà)發展。