Linux基金会&Snyk：解决开源软件中的网络安全挑战（2023）（36页）.pdf

1、解决开源软件中的网络安全挑战开源软件安全和方法的现状以及解决并改善您的网络安全状况的方法联合出品：开源软件（OSS）已成为技术领域不可或缺的一部分，就像桥梁和高速公路是全球交通基础设施施密不可分一样，已经和现代社会的数字机器紧密结合在一起。据报告显示，现代应用程序栈通常由 70 至 90 的现有开源软件组成，从操作系统到云容器，再到加密和网络功能，甚至是支撑企业或网站运行的应用程序本身。由于版权许可证鼓励免费重复使用、重新混合和重新分发，开源软件鼓励企业合作共同解决共同的挑战，即使是最激烈的竞争对手，也可通过避免重复工作来节省资金，并更快地创新和采用新兴标准。然而，这种普遍性和灵活性是有代价的

2、。虽然 开源软件通常在安全方面享有盛誉，但这些作品背后的社区在降低代码缺陷风险中的应用开发实践和技术，或在他人发现缺陷时快速安全响应方面可能存在很大差异。通常情况下，试图决定使用哪种 开源软件的开发人员很难根据客观标准确定哪些 开源软件比其他 开源软件更安全。企业通常没有对其使用的软件资产进行良好管理的清单，没有足够详细的细节来了解它们何时或是否易受已知缺陷的影响，以及何时或如何升级。即使那些愿意投资增强其使用的开源软件安全性的企业，也经常不知道在哪些方面进行投资，以及这相对于其他优先事项的紧迫性。然而，在上游源头上解决安全问题-试图在开发过程的早期发现它们，甚至减少它们发生的机会-仍然是一个

3、关键的需求。我们也看到了新的攻击，它们较少关注代码中的漏洞，而更多地关注供应链本身-从使用“包名称上的域名仿冒将自己意外插入开发人员的依赖树”的流氓软件，到对软件构建和分发服务的攻击，再到开发人员将他们的单人项目变成可能会产生意想不到的后果“抗议软件”。为了满足开源软件生态系统中对更好的安全实践、工具和技术的迫切需求，一系列深度投资的组织在 2020 年聚集在一起，成立了开源安全基金会（OpenSSF），并选择将这项工作设在 Linux 基金会。这项公共努力已经发展到包括数十个不同公共计划的数百名积极参与者，这些计划位于7个工作组下，来自超过75个不同组织的资金和合作伙伴关系，并覆盖了数百万个

4、开源软件开发者。本报告介绍了我们打算用来帮助支持这项工作的分析。您可以在以下位置查看我准备的证词的完整副本：美国众议院科学和技术委员会的证词-开源安全基金会（openssf.org）。布赖恩贝伦多夫总经理，开源安全基金会Linux 基金会01025.168.897.8雇主提供更多的激励措施59%软件组成分析（SCA）和 静态应用程序安全测试（SAST）73%11%24%18%49%更加智能的工具平均每个应用程序存在的重要漏洞数量。根据编程语言的不同，重要漏洞数量的范围在 2.6 到 9.5 之间。根据编程语言的不同，依赖项的数量在 25 到 174 之间变化。每个项目的平均依赖项。平均修复漏洞

5、所需的天数。是改善开源软件资源配置的第一途径。的组织报告称，他们的开源软件在一定程度上或高度安全。工具是解决安全顾虑使用的排名第一和第二的工具。的组织正在寻找提高软件安全性的最佳实践。组织在 2022 年的安全分数平均提高百分比的组织对它们的直接依赖的安全性感到有信心。的企业对其传递依赖项的安全性感到有信心。的组织拥有涵盖开源软件安全的安全策略。是组织机构试图提高供应链安全性的第一选择。介绍03开源软件(OSS)对我们今天所依赖的软件的开发和分发产生了巨大影响。通过其开发和共享软件组件的协作和开放方式，开源软件已成为创新的关键引擎，并鼓励核心软件组件的广泛重用和共享。如今，几乎所有应用程序都由

6、依赖于其他组件的组件组成，从而形成了一个涉及数百个组件和多层依赖项的供应链。各种规模的组织都严重依赖软件，其中大部分的软件供应链包含开源软件组件。正因为如此，开源软件具有网络安全的影响：软件供应链是入侵者利用进行盗窃、破坏或为了经济或政治利益而开发的一个有吸引力的入口点。如今，攻击面正在从传统的网络安全威胁模型中改变。在整个软件生态系统中广泛使用的小型库中的缺陷可能会导致系统性风险，正如我们在 Log4shell 等事件中所见到的那样。开源软件在组织软件中所带来的巨大好处和普及性，加上开源软件供应链的脆弱性，让我们处于一个十字路口。使用开源软件的组织和公司需要更加了解它们所使用的依赖项，积极地