漏洞層出不窮，開源軟件須上緊“安全閥”

　　兩會聲音

　　◎本報記者 劉園園

　　今天，你打開了多少個軟件？

　　我們被軟件叫醒，用軟件打車、點外賣、購物，借助各種軟件開展工作，夜晚又聽著軟件中的音樂睡去。各種各樣的軟件方便、快捷、高效，甚至有趣、好玩，讓我們愛不釋手。可是，它們安全嗎？

　　今年兩會，多位來自互聯網領域的代表委員們敲響警鐘：在軟件隨指可觸的今天，其背后的安全風險亟待加強防范。

　　平均每個代碼庫約有158個漏洞

　　“全球范圍內90%以上的云服務器操作系統、80%以上的移動操作系統都基于開源軟件。”全國政協委員、360集團創始人周鴻祎今年尤其關注開源軟件存在的安全風險。

　　在周鴻祎看來，只要是人寫的軟件就一定有漏洞，開源軟件也不例外。他介紹，平均每個代碼庫約有158個漏洞，這些漏洞會被繼承下來，進而影響到軟件本身的安全。

　　“現代軟件業高度依賴于開源體系存在。開源代碼及其所使用的代碼托管服務已經是軟件安全工程體系的重要組成部分。”全國政協委員、安天集團創始人肖新光也對此高度關注。

　　肖新光說，近年多次出現開源軟件漏洞、開源項目污染和維護者刪除代碼等安全事件；相關國家將開源平臺作為制裁他國之手段的情況更值得警惕。

　　“開源軟件開發人員來自不同國家、不同背景，源代碼的查看、修改、增加權限較為開放，很容易被植入‘后門’。同時，業界對開源代碼很多是直接拿來使用，或只做些小修小補，因此很容易埋下未知的安全風險。”周鴻祎說。

　　令周鴻祎擔憂的是，我國銀行、能源、國防、醫療、電力等重要行業運行的系統大量使用開源軟件。而開源軟件由于生態開放，其中存在的大量安全漏洞風險如果被惡意利用，足以撼動我國關鍵信息基礎設施的安全。

　　對關鍵信息基礎設施開展“摸底”

　　其實，不唯獨開源軟件，整個軟件領域的安全風險問題都不容忽視。

　　“現代軟件開發交付過程極為復雜，涉及到編譯環境和各種類庫、開源代碼、公用開發包、中間件等，軟件交付過程中涉及復雜的支撐關系。” 肖新光提到，軟件成分和依賴關系缺乏透明性以及缺少安全驗證機制支撐，導致軟件缺陷、隱藏威脅的影響范圍難以追溯跟蹤。

　　另一方面，肖新光指出，目前軟件開發安全標準規范落后，無法覆蓋全生命周期，在軟件規劃、需求定義、設計開發和對應的測試驗證環節仍有極大提升空間。針對軟件安全的保障機制和標準尚未形成統一體系。

　　面對這些現狀和問題，代表委員們提出不少對策。

　　周鴻祎建議，對關鍵信息基礎設施和重要信息系統開展普查，摸清開源軟件使用情況“家底”，精確掌握其類型、協議、來源等基礎信息，并進行系統漏洞挖掘，布局安全風險管理。

　　“建議建立軟件企業安全責任制，明確軟件企業承擔起開源軟件的全生命周期安全管理。”周鴻祎還提出，鼓勵中國軟件開發者積極參與國際開源社區，促進國際開源軟件的漏洞挖掘。

　　“建議主管部門牽頭，在重點行業領域建立推動軟件供應鏈透明化機制。同時將對應的檢測與驗證能力作為關鍵軟件、設備和系統的強制要求。”肖新光說。

　　肖新光補充道，在加快軟件業開源生態構建的同時，應推動系列專項工程，強化開源生態安全和軟件生態安全，并建立對應安全監測機制。此外，還應制定以軟件安全保障為首要目標的系列工程推薦標準和強制要求。