漏洞层出不穷，开源软件必须拧紧“安全阀”

两会之声

◎记者刘媛媛

你今天开了几个软件？

我们被软件唤醒，用软件打车，点外卖，购物，用各种软件办公，晚上听着软件里的音乐睡觉。各种软件方便、快捷、高效，甚至有趣、好玩，我们爱不释手。但是它们安全吗？

今年两会，多位来自互联网领域的代表委员敲响了警钟:在软件触手可及的今天，其背后的安全隐患亟待加强。

平均每个代码库大约有158个漏洞。

“全球超过90%的云服务器操作系统和超过80%的移动操作系统都基于开源软件。”全国政协委员、360集团创始人周今年特别关注开源软件的安全风险。

在周看来，只要是人写的软件都是有缺陷的，开源软件也不例外。他介绍，每个代码库平均有158个左右的漏洞，这些漏洞会被继承，从而影响软件本身的安全性。

“现代软件业高度依赖开源系统的存在。开源代码及其使用的代码托管服务已经成为软件安全工程体系的重要组成部分。”全国政协委员、安田集团创始人肖对此也高度关注。

小广信表示，近年来，开源软件漏洞、开源项目污染、维护者删除代码等安全事件屡有发生。更令人担忧的是，相关国家利用开源平台作为制裁其他国家的手段。

“开源软件开发者来自不同的国家和背景，查看、修改、添加源代码的权限相对开放，很容易被植入‘后门’。同时，行业内很多开源代码都是直接使用，或者只做小修小补，很容易埋下不为人知的安全隐患。”周对说道。

让周担心的是，开源软件被广泛应用于中国银行、能源、国防、医疗、电力等重要行业的系统运行中。然而，由于开源软件的生态开放性，开源软件存在大量的安全漏洞，如果被恶意利用，可以动摇我国关键信息基础设施的安全。

对关键信息基础设施进行“摸底”

其实不仅仅是开源软件，整个软件领域的安全隐患也是不容忽视的。

“现代软件开发和交付的过程极其复杂，涉及编译环境、各种类库、开源代码、通用开发包、中间件等。软件交付的过程涉及复杂的支持关系。”小广信提到，软件组件和依赖关系缺乏透明性，缺乏安全验证机制支持，导致软件缺陷和隐藏威胁的影响范围难以追溯。

另一方面，肖指出，目前的软件开发安全标准和规范比较落后，无法覆盖整个生命周期，在软件规划、需求定义、设计开发以及相应的测试验证空方面还有很大的提升空间。软件安全的保障机制和标准尚未形成统一的体系。

面对这些现状和问题，代表们提出了许多对策。

周建议，对关键信息基础设施和重要信息系统进行普查，摸清使用开源软件的“家底”，准确掌握其类型、协议、来源等基础信息，挖掘系统漏洞，布局安全风险管理。

“建议建立软件企业安全责任制度，明确软件企业承担开源软件全生命周期的安全管理。”周还建议鼓励中国软件开发者积极参与国际开源社区，推动国际开源软件漏洞利用。

“建议主管部门牵头建立机制，推动重点行业软件供应链透明化。同时，相应的检测和验证能力是对关键软件、设备和系统的强制性要求。”小说:

肖补充说，在加快软件产业开源生态建设的同时，要推进一系列专项，加强开源生态安全和软件生态安全，建立相应的安全监控机制。此外，还应制定一系列以软件安全为首要目标的项目的推荐性标准和强制性要求。

(科技日报)