背景
中国信息通信研究院调查数据显示,2020年中国使用开源技术企业占比达到82.2%,中国企业使用开源技术已经成为主流。
到2021年,开源更是迎来了属于它的高光时刻,首次被明确列入《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》,“支持数字技术开源社区等创新联合体发展,完善开源知识产权和法律体系,鼓励企业开放软件源代码、硬件设计和应用服务”。
随着开源技术的应用,开源软件供应链的安全成为影响开源生态发展的主要威胁。
调研报告显示,84% 代码库至少存在一个开源组件安全漏洞,其中平均每个代码库存在 158 个开源组件漏洞,65% 的代码库存在许可冲突,发现的漏洞平均是已存在 2.2 年。开源软件存在如此多的安全漏洞,这对于应用开源软件的企业来讲是巨大的安全隐患,而这些安全风险如果无法得到有效的控制,那么对开源生态的健康发展将形成巨大的挑战。
对开源生态当前面临的安全现状的分析
- 开源软件因为代码开源,所以更容易被发现存在安全漏洞
- 开源软件因为其开放性,更容易被其他开源项目引用,这种层层引用的关系导致开源项目一旦出现安全漏洞,该漏洞将具备非常强的传染性
- 一些主流的开源软件应用非常广泛且这些开源软件通常被部署在企业、组织的非常关键的服务器上,这使得一旦它们存在高危漏洞,这对于应用企业或组织来说是非常致命的
开源生态安全治理的关键点
- 开源软件应该明确SBOM(软件物料清单),并公开公示
- 开源软件SBOM一旦发生变更要实时进行安全漏洞的检测
- 定期对开源软件的SBOM中涉及的漏洞进行检测(因为不断会发现新的漏洞)
- 一旦发现存在新的安全漏洞,应该及时修复并发布安全版本及安全通告
关于《开源安全生态守护计划》
由OSCS(开源软件供应链安全社区)发起的《开源安全生态守护计划》(以下统称《守护计划》)旨在帮助开源开发者们持续提升开源项目的安全性,帮助开发者们及时发现开源项目中存在的安全漏洞并修复。
OSCS的愿景是:让每一个开源项目变得更安全。
如何加入《守护计划》
- 通过指定的开源检测评估工具,完成安全评估并积极修复漏洞
- 将安全标识在开源项目官方Readme文件中公示
- 完成以上两项后,即可申请加入计划
申请链接:https://oscs.io/join
加入《守护计划》的成员权益
- 《守护计划》成员可以免费获得开源代码安全检测、风险预警和漏洞修复等服务
- 完成检测并修复漏洞缺陷的开源项目将获得唯一编码的安全标识,该标识将在OSCS官网展示,同步在开源项目主页展示
- 通过安全检测的开源项目,会在OSCS社区获得推荐曝光,在成员内部、技术社区获得推荐,包括但不限于官网、Github社区、官方微信公众号、视频号等渠道推荐
- 《守护计划》每月定期组织项目成员参加线上线下的技术交流,促进安全知识学习,提升软件安全建设能力
- 加入《守护计划》的优质开源项目将推荐参加年度评选,并有机会参与OSCS的年度“开源安全技术峰会”进行分享和颁奖
社区成员如何为OSCS做贡献
- 积极完善本计划的各项规范及检测工具
- 积极参与守护计划组织的各项活动及技术交流,共同促进本计划的推进
写在最后
诚意邀请您加入《开源安全生态守护计划》!
与OSCS一起,携手全球开发者,共建开源生态安全!
官网直达:https://oscs.io
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用。你还可以使用@来通知其他用户。