漏洞层出不穷，开源软件须上紧“安全阀”

两会声音

◎本报记者 刘园园

今天，你打开了多少个软件？

我们被软件叫醒，用软件打车、点外卖、购物，借助各种软件开展工作，夜晚又听着软件中的音乐睡去。各种各样的软件方便、快捷、高效，甚至有趣、好玩，让我们爱不释手。可是，它们安全吗？

今年两会，多位来自互联网领域的代表委员们敲响警钟：在软件随指可触的今天，其背后的安全风险亟待加强防范。

平均每个代码库约有158个漏洞

“全球范围内90%以上的云服务器操作系统、80%以上的移动操作系统都基于开源软件。”全国政协委员、360集团创始人周鸿祎今年尤其关注开源软件存在的安全风险。

在周鸿祎看来，只要是人写的软件就一定有漏洞，开源软件也不例外。他介绍，平均每个代码库约有158个漏洞，这些漏洞会被继承下来，进而影响到软件本身的安全。

“现代软件业高度依赖于开源体系存在。开源代码及其所使用的代码托管服务已经是软件安全工程体系的重要组成部分。”全国政协委员、安天集团创始人肖新光也对此高度关注。

肖新光说，近年多次出现开源软件漏洞、开源项目污染和维护者删除代码等安全事件；相关国家将开源平台作为制裁他国之手段的情况更值得警惕。

“开源软件开发人员来自不同国家、不同背景，源代码的查看、修改、增加权限较为开放，很容易被植入‘后门’。同时，业界对开源代码很多是直接拿来使用，或只做些小修小补，因此很容易埋下未知的安全风险。”周鸿祎说。

令周鸿祎担忧的是，我国银行、能源、国防、医疗、电力等重要行业运行的系统大量使用开源软件。而开源软件由于生态开放，其中存在的大量安全漏洞风险如果被恶意利用，足以撼动我国关键信息基础设施的安全。

对关键信息基础设施开展“摸底”

其实，不唯独开源软件，整个软件领域的安全风险问题都不容忽视。

“现代软件开发交付过程极为复杂，涉及到编译环境和各种类库、开源代码、公用开发包、中间件等，软件交付过程中涉及复杂的支撑关系。” 肖新光提到，软件成分和依赖关系缺乏透明性以及缺少安全验证机制支撑，导致软件缺陷、隐藏威胁的影响范围难以追溯跟踪。

另一方面，肖新光指出，目前软件开发安全标准规范落后，无法覆盖全生命周期，在软件规划、需求定义、设计开发和对应的测试验证环节仍有极大提升空间。针对软件安全的保障机制和标准尚未形成统一体系。

面对这些现状和问题，代表委员们提出不少对策。

周鸿祎建议，对关键信息基础设施和重要信息系统开展普查，摸清开源软件使用情况“家底”，精确掌握其类型、协议、来源等基础信息，并进行系统漏洞挖掘，布局安全风险管理。

“建议建立软件企业安全责任制，明确软件企业承担起开源软件的全生命周期安全管理。”周鸿祎还提出，鼓励中国软件开发者积极参与国际开源社区，促进国际开源软件的漏洞挖掘。

“建议主管部门牵头，在重点行业领域建立推动软件供应链透明化机制。同时将对应的检测与验证能力作为关键软件、设备和系统的强制要求。”肖新光说。

肖新光补充道，在加快软件业开源生态构建的同时，应推动系列专项工程，强化开源生态安全和软件生态安全，并建立对应安全监测机制。此外，还应制定以软件安全保障为首要目标的系列工程推荐标准和强制要求。