4月25日,在第四届数字中国建设峰会软件开源生态分论坛上,开源软件供应链安全实验室正式启动成立。该实验室是由360集团联合国家工业信息安全发展研究中心、中国科学院软件研究所、北京航空航天大学软件学院、北京大学软件工程国家工程研究中心、开源中国共同发起,将聚焦开源生态治理重点需求和开源软件供应链薄弱环节,加强理论和前沿技术研究,搭建技术支撑平台、开源软件检测认证、成熟度评估等工作。
“开源模式改变了传统的软件发展模式,重塑了软件产业格局,是代表未来的协作创新机制,因此,我们更需要重视开源安全问题。”360集团副总裁兼首席安全官杜跃进博士在峰会上发表题为“用开源思路提高软件安全”的主题演讲。据统计,过去10年,开源软件漏洞总数增长了18倍,而2020年已发布的开源软件漏洞数量再创新高,其总数为9658个,相比于2019年,增量超过一半。
过去十年,开源漏洞不仅数量倍增,其破坏力也可见一斑。2014年,开源密码库OpenSSL中的 Heartbleed 安全漏洞被发现,这个漏洞影响了50万Web 服务器。而经360检测,国内有不少于30%的网站中招,其中包括网银、网购、网上支付、邮箱、门户等知名网站和服务,而且,无论用户电脑多么安全,只要网站使用了存在漏洞的OpenSSL版本,用户就可能被黑客实时监控到登录账号和密码。据搜索引擎商 Shodan 报告,截至2019年底,该漏洞引起了91000多起脆弱性事件。这正是广为人知的“OpenSSL心脏出血漏洞”,因影响范围之广、破坏性之大,被称为网络安全里程碑事件。
伴随数字化进一步发展,开源漏洞的破坏性还将更加严重。“不管是智慧城市,智慧医疗等,都需要用到一些人工智能应用或者服务,而这些应用或者服务的实现是建立在一系列AI框架之上,需要利用AI框架训练模型,并实现最后的推理预测。” 杜跃进博士表示,一旦框架存在问题,既会影响人工智能应用或者服务的开发者,更多的会影响用户,甚至会影响智慧医疗、智慧城市的正常运转。另一方面,随着信创产业的高速发展,开源软件已成为信创生态建设的“基石”,开源软件安全问题已成为信创安全保障的重要环节。
因此,如何更加妥善的应对开源带来的风险,是全行业需要思考的问题。360一直致力于开源安全能力建设,一方面,作为国家新一代人工智能安全开放创新平台的依托单位,360已累计发现主流机器学习框架及依赖组件漏洞超过100个,影响范围包括Tensorflow、Caffe、PyTorch等;另一方面,围绕信创安全面临的严峻考验,360积极开展信创安全体系顶层设计,适配信创安全产品,联合统信软件等发起“国密数字证书计划”。
但是,仅靠安全产业界现有的力量是远远不够的,杜跃进博士呼吁要用开源精神和开源模式建设信创安全生态,提高信创安全水平,调动民营企业和社会力量的优势,建设信创安全整体能力。为此,2019年10月,360打造了全国第一家开源漏洞响应平台360BugCloud,并首创“自主议价”的全新模式及“第三方专家评审”机制,在奖金设立上,以“四位数起且上不封顶”的致谢金额,表达对每一位致力于维护开源软件及社区平台安全、世界安全的研究员的尊重。
业界人士评价称,360BugCloud是一个漏洞众测的平台,可以延伸成漏洞研究人员的社区,再进一步可以衍化成一个用社会化力量帮助用户应对漏洞的社区,对开源安全意义重大。而此次开源软件供应链安全实验室的成立,也将进一步推动建立开放创新生态体系,服务我国开源生态建设。
据悉,作为数字中国建设成果峰会的核心分论坛之一,软件开源生态分论坛由工业和信息化部、国家互联网信息办公室主办,国家工业信息安全发展研究中心和福州市人民政府共同承办。
雷锋网雷锋网(公众号:雷锋网)
雷锋网版权文章,未经授权禁止转载。详情见转载须知。