海雲安開源元件安全管理平臺OSCA，為金融機構開源安全助力

近日，中國人民銀行辦公廳、中央網信辦秘書局、工信部辦公廳、中國銀保監會辦公廳、證監會辦公廳釋出《關於規範金融業開源技術應用與發展的意見》，《意見》要求金融機構在使用開源技術時，應遵循“安全可控、合規使用、問題導向、開放創新”等原則。《意見》鼓勵開源技術提供商加快提升技術創新能力，切實掌握開源技術核心程式碼，形成自主智慧財產權，夯實產業支撐能力。在提供基於開源技術的商業軟體或服務時，遵循開源許可協議和相關法律法規要求，明確開源技術的使用範圍和使用的權利與義務，保障使用者合法權益。探索自主開源生態，重點在作業系統、資料庫、中介軟體等基礎軟體領域和雲端計算、大資料、人工智慧、區塊鏈等新興技術領域加快生態建設，利用開源模式加速推動資訊科技創新發展。

開原始碼是什麼？

開原始碼（Open source code）也稱為原始碼公開，指的是一種軟體釋出模式。一般的軟體僅可取得已經過編譯的二進位制可執行檔，通常只有軟體的作者或著作權所有者等擁有程式的原始碼。有些軟體的作者會將原始碼公開，此稱之為“原始碼公開”，但這並不一定符合“開放原始碼”的定義及條件，因為作者可能會設定公開原始碼的條件限制，例如限制可閱讀原始碼的物件、限制衍生品等。（本段摘自百科）

開源軟體安全性現狀

如今，人人都在使用app來完成日常工作：支付賬單、擴充興趣、高效工作。為了滿足需求，開發人員用開源軟體元件為產品提供強大的功能，而無需自行編寫新程式碼。這其中就包括開源安全程式碼。這些元件由開源社群編寫和維護，得到了廣大“志願者”的支援--他們致力於建立更優良的程式碼。現在，大多數app中60-80％的程式碼庫都來自開源軟體。2017年9月，Equifax駭客在公司的Web應用程式中利用Apache Struts 2元件的易受攻擊版本竊取了1.459億人的身份資訊。事實說明，如果馬虎地使用開源軟體，可能會有一定風險。當發現一個開源元件存在漏洞（通常稱為CVE）時，這個漏洞會迅速公佈，以便開源人可以執行必要的修復。不幸的是，駭客也可以看到這些資訊，他們不需要付出任何努力就能瞭解哪些元件易受攻擊以及如何進行攻擊。然後，他們可以使用此資訊對公司組織進行操作，以找出哪些公司可能反應太慢而無法修補，從而黑掉他們的系統。

駭客們認為，很多公司並不會仔細檢查他們產品的開源元件是否包含任何公開漏洞，通常忽視產品中的開源元件，當新的漏洞被發現時，他們不能及時反映，不知道產品中有潛在的危險。

在某權威機構2021年“開源安全和風險分析”(OSSRA)報告調研結果發現，98%的代碼庫包含開原始碼，每個程式碼庫平均有528個元件，84%的程式碼庫至少存在一個漏洞（比 2019年的75%增加了9%。包含高風險漏洞的程式碼庫的百分比在2020年增加到60%，比 2019年審計的49%增加了11%。“高風險”表示漏洞已被積極利用，已記錄了概念漏洞利用的證明，或已被歸類為遠端程式碼執行漏洞。），65%的程式碼庫存在許可證衝突，最常見的是GNU通用公共許可證 (GPL)衝突。 GPL是最流行的開源許可證之一，其各種版本可能會與其他程式碼產生許可證衝突。事實上，其中5個有衝突的版本前10個許可證是GPL及其變體。程式碼庫中的公開漏洞平均已存在2.2年，91%的程式碼庫包含在過去兩年中沒有開發活動的元件，85%的程式碼庫擁有超過四年的開源版本。除了增加安全風險之外，在版本控制方面過分落後還會增加更新到最新版本將變得困難並引入不需要的功能更改（例如關鍵功能消失）的危險。因此，可能會導致安全漏洞風險問題。

在軟體許可證使用方面，開源元件受具有不同義務和限制級別的許可約束。不遵守開源許可可能會使企業面臨訴訟風險並損害其智慧財產權。一般來說，作為最終協議的一部分，軟體提供商需要宣告他們對他們正在使用的任何軟體擁有權利（並且可能有更明確的關於開源的宣告和保證）。然而，在開源許可合規方面，很少有軟體開發商是完全“乾淨”的。只有在確定受這些許可證管轄的開源元件並確認這些元件的使用與適用許可證授予的權利一致後，組織才能管理和遵守許可證要求。與安全漏洞一樣，如果不識別軟體中的所有元件，就不可能管理許可證合規風險。

開源元件的廣泛採用意味著開源安全漏洞的增加。由於這些安全漏洞是公開披露的，因此它們是駭客的主要目標。如果不定期管理開源元件及其所有依賴項，企業就會面臨應用安全風險。開源社群本質上是分散的，查詢漏洞資訊很困難，而且因專案而異。為了降低風險，企業需要了解其開源使用情況。大規模管理開源安全需要一個超越檢測的解決方案，專注於開源漏洞的優先順序排序、修復和預防。

海雲安開源元件安全管理平臺

平臺架構

海雲安源開源元件安全管理平臺是一套用於管理開源元件安全性、許可證合規性風險的整體解決方案。以B/S架構的方式提供使用者進行互動與管理。實現對應用系統原始碼專案中引入的開源元件進行安全監測。能夠響應DevSecOps的需求，與Git、SVN等程式碼倉庫整合獲取程式碼專案。並且能夠與Jenkins構建整合流水線系統進行整合，系統構建時自動化觸發進行元件掃描。一方面透過對應用系統原始碼專案進行正向掃描檢測，發現應用系統原始碼專案中引入的元件資產清單，許可證清單，許可證風險和公開漏洞。另一方面，能夠透過對公開漏洞的持續監控，透過漏洞與元件、專案關聯，及時對存在相關漏洞的專案推送預警。實現對開源元件的整體檢測和監測管理。最終使得使用者能夠及時清晰掌握應用系統程式碼專案元件資產、許可證資產，許可證合規風險和安全漏洞風險，並有效應對應用系統開源元件相關風險，提高應用系統得合規有效性和安全可靠性。

                       OSCA系統架構圖

系統流程

系統整體流程主要包括正向檢測和反向監測兩部分，在正向檢測過程中，主要是從程式碼倉庫對接，CI流水線整合，IDE外掛提交本地上傳等方式進行建立開源元件檢測專案。然後基於專案建立相關檢測任務。在檢測過程中，透過掃描引起把知識庫和規則庫與元件匹配得到相關檢測結果，檢測結果包括元件清單，許可證清單和漏洞風險清單等。

在反向監測過程中，主要透過情報收集得到相關開源元件漏洞，然後推送更新到漏洞資料庫中。在漏洞資料庫更新的時候觸發關聯分析，由漏洞關聯到元件，然後由元件關聯到專案，從而知道那個程式碼專案存在有最新漏洞，然後給相關專案負責人傳送訊息提醒漏洞處置修復。

下圖是產品該頁面的部分截圖

海雲安OSCA系統主要的特點

1）管理平臺是一套以開源風險管理為核心，以檢測為支撐的整體性解決方案，幫助使用者最大限度地降低與開源和其他第三方軟體相關的風險。

2）管理平臺可以與DevOps流程無縫結合，在流水線的相應階段自動發現應用程式中的開源元件，提供關鍵的版本控制和使用資訊，支援在SDLC的每個階段查詢和修復安全漏洞，提供詳細的、針對特定漏洞的修復解決方案；

3）透過使用業界主流的開源知識庫來確定許可中的哪些與使用者的應用程式中的開源相關，從而消除開源許可不合規的風險並保護使用者的智慧財產權；

4）透過自動化元件資產管理能夠有效提高企業元件資產管理能力，全面避免開發成本超支並透過與開原始碼質量不佳相關的運營風險指標來對抗程式碼衰減；

5）管理平臺能夠雲端漏洞情報監控，實時預警元件漏洞風險，以加快修復速度並降低企業的風險敞口；

6）元件漏洞檢測無誤報，節省時間和資源。平臺能夠將報告的漏洞與程式碼中的開源元件相匹配，從而減少警報數量。

7）基於黑白名單規則，有效識別並優先處理關鍵的開源安全漏洞，以便使用者首先修復最重要的問題。

8）針對元件版本提供具體升級方案，並對元件版本升級進行相容性評估。

9）平臺提供全面的知識庫,使用業內主流的漏洞資料庫全面覆蓋使用者的開源使用情況。持續監控多種資源，包括NVD、CNNVD以及各種安全建議和問題跟蹤器。

10）能夠一鍵生成綜合開源報告，包括內容包括元件清單，依賴關係，許可證清單及風險，新增版本，安全漏洞以及版本升級方案等。

產品採用旁路部署，部署方式靈活簡單、安全，也不會對客戶業務連續性造成任何影響。典型網路部署如圖：