淘宝官网首页入口电脑版网址,关键词排名关键词优化,交网站建设 域名计入什么科目,网站建设需要的软件科技云报道原创。
过去几年#xff0c;开源界一片火热#xff0c;开源软件技术已全面进军操作系统、云原生、人工智能、大数据、半导体、物联网等行业领域。
数据显示#xff0c;我国超九成企业在使用或正计划使用开源技术。
与此同时#xff0c;全球各大开源组织相继兴…科技云报道原创。
过去几年开源界一片火热开源软件技术已全面进军操作系统、云原生、人工智能、大数据、半导体、物联网等行业领域。
数据显示我国超九成企业在使用或正计划使用开源技术。
与此同时全球各大开源组织相继兴起头部科技企业均投入大量人力进行开源生态建设。
然而随着开源软件的发展其数量和影响力在不断的上升开源风险也随之而来。
不恰当地使用开源软件可能会给企业造成负面舆论甚至经济损失的风险。
2021年12月抖音海外版TikTok上线了一款名为TikTok Live Studio的APP但不久其下载页面就被删除。
TikTok官方对此事做出回应原因是该APP违反GPL许可证使用了GPL许可证下的开源软件源码却没有按照GPL许可证要求开源。
近年来类似抖音因违规使用开源软件而引发开源合规风险的案例屡有发生。
但开源软件的风险并不止于此看似免费使用的开源代码之下暗藏着多重风险。 开源软件的风险
一般来说开源软件的风险可能来自四个方面
安全风险 其中又分为开源软件本身的安全漏洞导致的风险和目前关注度很高的软件供应链攻击的风险。
根据Sonatype 2021年的报告29%的流行项目包含了已知的第三方库安全漏洞也就是说接近1/3的软件项目都包含了已知安全漏洞足以可见安全漏洞的普遍性。
而软件供应链方面的安全问题是比较难以发现的。
例如Log4Shell与Spring4Shell是2021-2022年影响非常广泛的两个安全漏洞。
这类安全漏洞的特点在于通过对供应链上游软件进行攻击进而可以影响大量下游使用的软件。
在这种情况下开源软件来源的安全把控非常重要但目前开源软件供应链面临的最大挑战就是企业自己都不知道用了哪些开源软件大公司已经开始关注到开源合规治理的内容但是很多小公司还没有这个意识。
法律风险 其中又分为许可证协议和专利方面的风险。
常见的许可证主要有GPL、LGPL、AGPL、MPL、MIT、BSD、Apache各个许可证还包含不同版本。根据使用条件不同可以将这些许可证大致分为两类Copyleft 许可证和宽松许可证permissive license主要对使用、修改和分发的场景作出相应约束。
由于目前很多的开源项目里面嵌套着其他开源项目那么可能存在内部许可证上的冲突。对于代码组件的分析以及对组件背后相应许可证是否冲突需要专业的分析。
如果未按照开源许可证的规定履行开源合规义务可能会造成侵权而遭到索赔、诉讼、产品下架、商誉受损等风险。
在专利方面一种是本身的创建者/贡献者实现的专利有可能预埋专利陷阱另一种是第三方专利维权风险。此外还有商标侵权及出口管制方面的风险。
运维风险 如果企业自己没有能力支撑或没有商业公司帮忙的话开源项目的维护成本也很高。
断供风险 俄乌事件后GitHub不允许俄罗斯开发人员下载代码甚至把俄罗斯账号的代码提交删掉这一“断供”事件为全球开发者敲响了警钟。
此外2022年1月Faker.js 的作者主动恶意破坏自己的项目后“删库跑路”甚至还注入了导致程序死循环的恶意代码引起众多应用程序崩溃瞬间引发了开源圈“震动”。
直面开源软件的风险
面对开源软件的种种风险企业和开发者应如何安全合规地使用开源技术合理“避坑”呢
事实上无论是开源还是闭源本质上都是软件都会存在安全漏洞不能因为害怕风险而拒绝使用开源软件。
因此业内专家提出了一些应对开源安全风险问题的办法从多个角度来提升开源软件的安全性。
首先针对整个开源软件供应链安全加大关注去寻找供应链中相对来说比较薄弱的风险点并在这个风险点上加大投入。
中国信通院云大所开源和软件安全部副主任郭雪认为在企业侧有三个重要的关键动作
建立相应的开源安全管理的流程机制 勇于盘点软件资产建立SBOM软件物料清单对所有的组件一目了然。 建立预警机制、维护团队和维护机制。例如长期追踪开源软件最近是否有更新和版本发布并检查目前使用的版本是否有安全漏洞等。安全漏洞发生后的第一时间及时去打相应的补丁等。 其次在使用开源软件时需要谨慎选择开源软件关注其开源许可证的内容及相关条件避免潜在的法律风险。
对此企业应当建立一个完善机制识别企业中所使用的开源软件清单明确对应的开源许可证及权利约束及时规避相关合规风险。
同时通过隔离机制避免开源许可证传染。
例如对于MPL许可证下代码的使用应把该许可证的代码放在单独的文件内避免许可证传染LGPL下的代码可采用动态链接调用该许可证的库实现隔离。
目前国内很多大中型公司已经成立了专门的开源治理办公室以应对开源合规问题。
据上海安势信息技术有限公司资深解决方案架构师朱贤曼介绍在实际业务中对商业应用比较友好的是Apache法务风险相对较低而AGPL、SSPL一般很多公司会直接禁用。
企业在对外发布开源项目时如果希望商业化之后保留一个商业版本、一个社区版本可能会选择类似GPL的许可一方面可以收集到用户意见也就是开源的反馈意见用于改进商业版同时也不希望被直接白嫖。
此外国家层面也在慢慢重视开源合规出台了开源技术相关的法律法规。
例如2021年中国人民银行、中央网信办等五部门联合发布了《关于规范金融业开源技术应用与发展的意见》对金融机构安全可控、合规使用开源技术进行了指导和规范。
其中《意见》明确提出推动金融机构建立健全评估体系支持金融机构对开源技术版权、专利、商标、声明等进行事前合规审查梳理开源技术间依赖性等避免法律纠纷支持金融机构制定应急处置预案支持金融机构加强开源技术供应链管理通过合同或协议条款明确开源技术提供商义务和责任等。
第三如果企业自己没有支持开源软件的能力建议选择有商业背景的公司可以购买公司提供的服务。
企业可以与其签订法律合同提出SLA或问题修复时效相关的承诺这些开源软件背后的公司扮演了一个让供应链更牢固的角色。
最后断供事件不可避免中国企业还需未雨绸缪。
开源本身不限制地域但是承载开源这件事情的通常是一个商业实体商业实体会受到所在地区的出口管制法或者其他制裁条例的限制。
目前几乎所有著名的开源软件团体都位于美国且有的许可证规定了管辖法院为美国法院且适用法律为美国法。
这些事实无不在提醒我们开源软件受到美国出口管制的影响。
从这个角度来看企业内部可以建内部代码库所依赖的东西可以将其放在内部代码库上万一有一天访问不了国外的开源托管平台也有备份的源码池可以获得这些代码。
从更长远的角度看开源世界是彼此相互依赖的在一个生态当中谁在生态位的高端谁就具备抵御相互依赖的打击能力。
目前在开源代码的贡献率上中国已经位居全球第二。
中国科技公司成为美国开源代码托管平台的重要客户中国的GitHub用户已居全球第二仅次于美国。
中国作为最大的开源技术受惠者之一并正在成为最大的反哺者之一因话语权的不断扩大也将降低开源断供的风险。
同时国家层面也在主导建设自己的开源社区和开源平台开展“开源生态培育”专项行动统筹推进建设高水平基金会打造优秀开源项目建设我国自己的开源生态体系。
结语
开源风险从来不是一个简单的问题对于开源软件的风险管理其实是一个软件生态式的管理涉及软件开发使用过程中的各种角色。
无论是哪一方都需要尽快提升开源安全合规意识并遵循国际上的开源风险治理最佳实践尽量将开源风险扼杀在源头。
【关于科技云报道】
专注于原创的企业级内容行家——科技云报道。成立于2015年是前沿企业级IT领域Top10媒体。获工信部权威认可可信云、全球云计算大会官方指定传播媒体之一。深入原创报道云计算、大数据、人工智能、区块链等领域。
