由中國信通院、中國通信標準化協會主辦，云計算標準和開源推進委員會承辦的“2022 OSCAR開源產業大會”在北京舉行，大會上發布了《全球開源生態研究報告（2022年）》（以下簡稱“報告”）。

　　報告首次梳理了全球開源生態發展對數字經濟的積極影響，并總結了開源對各技術領域的重要驅動。同時，從全球開源生態趨勢演進、開源項目穩步增長、開源社區多態均衡發展、開源應用持續提升、開源投融資異常火熱、開源風險影響凸顯等多方面進行全面洞察，并結合現有形勢展望了我國開源生態的發展機遇，為開源行業從業者提供重要參考。

　　開源作為數字經濟時代一種新思維、新模式，對促進數字技術創新、優化軟件生產模式、賦能傳統行業轉型升級、推動企業降本增效具有重要作用，為全球數字經濟高速發展注入無限活力。與此同時，開源生態繁榮發展背后，風險隱患備受關注。

　　開源代碼安全問題凸顯，影響較為嚴重

　　2015年-2020年開源安全漏洞數量及變化趨勢

　　代碼庫中的安全漏洞風險較為嚴重。根據Snyk和Linux基金會2022年發布的開源安全調查報告，一個應用程序開發項目平均有49個漏洞和80個直接依賴項，此外，修復開源項目漏洞所需的時間也在穩步增加。

　　全球重點行業開源代碼庫安全風險熱力圖

　　物聯網、航天、互聯網行業的安全風險極為突出。根據新思科技《2022開源安全與風險分析報告》顯示，2021年的統計數據中包含開源漏洞的代碼庫最高的五個的行業有物聯網、航空航天、汽車、運輸和物流、互聯網和移動APP。最低的三個行業為網絡安全、電信和無線、互聯網和軟件基礎架構。

　　組件漏洞開源依賴傳播范圍

　　開源漏洞傳播性風險非常嚴重。根據國家計算機網絡應急技術處理協調中心發布的《2021年開源軟件供應鏈安全風險研究報告》顯示，原始樣本中有6416個開源組件，受組件依賴關系的影響，開源漏洞一級傳播一共波及801164個直接依賴組件，其影響范圍擴大125倍。二級傳播一共波及1109519個間接依賴組件，影響范圍擴大174倍。開源模式下開源軟件傳播快、應用廣，客觀上加劇了安全漏洞傳播的速度和范圍，造成傳染性傳播的局面。

　　開源許可證無處不在

　　合規風險得到逐漸重視

　　隨著各行各業越來越多地使用開源代碼，圍繞開源合規的討論成為焦點。軟件自由保護協會訴訟Vizio違反GPL、甲骨文訴谷歌版權侵權案塵埃落定等事件表明，軟件行業對于開源法務和合規的意識正在增強，開源許可證風險值得關注。

　　包含無許可證或自定義許可證的開源代碼庫占比

　　根據新思科技發布的《2022開源安全與風險分析報告》指出，2021年審計的代碼庫中有53%包含有許可證沖突的開源代碼，有17%存在許可證兼容性問題。無許可證或自定義許可證問題得到改善。

　　供應鏈風險較為隱蔽

　　發展形勢極其嚴峻

　　開源軟件供應鏈關系網絡復雜，蘊含嚴重風險問題。目前，“供應鏈”通常牽涉數十個（甚至數千個）個體開發人員、組織機構、軟件片段以及將它們交織在一起的工具、策略和程序。雖然這種趨勢降低了編程人員的準入門檻、縮短了產品的上市時間，但同樣也留下了嚴重的風險隱患，主要包括關鍵開源組件的可持續維護挑戰。

　　基于此，安全419啟動了軟件供應鏈安全解決方案系列調研，邀請細分領域內代表廠商分享自身前沿觀點、創新技術和最佳實踐，希望為企業組織更好應對軟件供應鏈面臨的風險與挑戰提供參考借鑒。

　　開源風險管控機制不完善，未來開源風險將進入集中暴露期。根據Snyk和Linux Foundation調查結果，只有49%的組織制定了開源軟件開發或使用的風險管控策略，企業更偏向于對功能需求的驗證，忽視了源代碼和使用的基礎開源組件的安全性。

　　企業未建立完整的開源軟件使用管理機制，導致開發人員對開源軟件基本處于“只用不說”的狀態，企業更無法了解正在使用的軟件系統是否包含了開源軟件。一旦軟件產品交付，開源軟件的風險問題也將為整個信息系統的安全運營帶來極大的安全挑戰。

　　如果產業不能建立完善的開源安全審查評估和風險治理機制，開源風險事件數量將不斷攀升、發生頻率將不斷提高、后果將越發嚴重。用戶針對軟件供應鏈安全所面臨的問題也亟待解答，安全419近日啟動了《軟件供應鏈安全解決方案》系列訪談選題，邀請領域內代表廠商分享自身創新技術和最佳實踐，希望為企業應對開源軟件風險提供參考借鑒。在此，也歡迎更多具備相關能力的優秀廠商參與該選題，一同守護開源生態安全。

更多信息可以來這里獲取==>>電子技術應用-AET<<