【摘要】本文介绍了开源软件供应链的发展现状,从安全漏洞、传播风险、运维情况3个方面总结了开源软件供应链所存在的安全问题;基于2021年以来的重大安全事件,从开源漏洞利用和开源投毒攻击2个角度对开源软件供应链面临的风险进行分析;同时提出了在开源软件开发、分发和使用全生命周期各环节应采取的安全防范对策,以全面保障开源软件供应链安全。【关键词】开源软件供应链安全开源投毒漏洞利用安全防范【中图分类号】TP311.13;TP309【文献标识码】A1引言数字化时代,软件定义世界,也是保证现代社会正常运转的关键要素。与此同时,开源协作模式已成为软件产业的主要开发模式,不仅能够实现人类智慧共享、提高软件开发效率,而且正在引领技术创新和价值创造,大数据、人工智能、云计算等新兴领域的基础软件均是基于开源模式进行研发的[1]。软件的开源化势不可挡,开源代码正如软件世界的道路和桥梁,重要性与日俱增。然而,自2021年以来愈加频发的开源软件供应链安全事件,充分揭露出在软件开发阶段引入开源代码这一做法,在提高开发效率的同时,也带来了巨大的安全隐患。这也迅速引发了全球学术界和产业界对开源软件供应链安全的广开源软件供应链安全分析与防范对策芦天亮袁梦娇/中国人民公安大学信息网络安全学院2022年12月|保密科学技术|27特别策划泛关注。例如,2022年1月,Apache基金会、谷歌、苹果、微软等技术公司,以及美国商务部、国防部、网络安全和基础设施安全局等联邦机构共同参加了白宫开源软件安全峰会;2022年8月,黑帽大会(BlackHat2022)围绕“软件供应链安全”“开源网络风险”这2个中心议题展开了充分探讨。开源软件供应链安全成为当前网络空间安全领域的焦点问题。2开源软件供应链发展现状2.1开源软件供应链体系日益庞大目前,全球开源生态正在蓬勃发展,一方面,全球开源软件供应加速,根据开源服务提供商Sonatype的统计数据[2],2021年全球排名前四的开源生态系统Java、JavaScript、Python和.NET共发布了6302733个新版本的开源组件和723570个全新的开源项目,年环比增加20%;另一方面,全球开源软件需求呈现爆炸式增长,2021年全球开发者共从上述4大开源生态系统请求了超过2.2万亿个开源组件,下载量同比增长73%。随着“到2025年建设2~3个有国际影响力的开源社区,培育超过10个优质开源项目”的目标被写入《“十四五”软件和信息技术服务业发展规划》,我国的开源软件将在未来的3~5年内迎来高速发展阶段[3]。2.2开源软...
