摘要：開源軟件已成為全球發(fā)展、數(shù)字化與信息化變革的重要技術來源，基于開源軟件的廣泛應用，對開源軟件可能帶來的安全風險開展研究分析具有重要意義。打造以“政策+技術”雙驅動為核心的防范體系，可有效保障我國開源軟件安全、網絡空間安全乃至國家安全。該體系在政策面上包含打造開源網絡安全生態(tài)、建設國家級開源平臺和項目以發(fā)展促安全、面向關鍵信息基礎設施開展開源軟件網絡安全專項整治等防范措施，在技術面上主要依托開源平臺開展軟件源代碼分析，實現(xiàn)軟件缺陷及漏洞預測。

目前，網絡化、智能化、數(shù)字化浪潮席卷全球，我國同步大力推進以 5G、車聯(lián)網、工業(yè)互聯(lián)網等為代表的新興融合領域基礎設施建設，軟件在各行各業(yè)、各個領域的應用也隨之不斷豐富深化。與此同時，現(xiàn)代網絡和軟件越來越依賴開源技術的廣泛普及，大型互聯(lián)網公司向開源社區(qū)開放專有軟件創(chuàng)新已成為國際慣例，開源軟件（Open Source Software，OSS）作為全球軟件開發(fā)的基石，已是產業(yè)發(fā)展、數(shù)字化與信息化變革的重要技術來源。

開 源 軟 件 是 通 過 特 定 類 型 的 許 可 證（ 如MPL 許可證）發(fā)布的軟件，這種許可證能讓最終用戶合法地查看、修改和分發(fā)軟件所使用的 源 代 碼。以 Linux、Apache、Android、Git、Hadoop、MySQL、Python 等為代表的開源軟件在全球廣泛普及，快速發(fā)展的云計算、大數(shù)據(jù)和人工智能等也得益于 ROS、Tensorflow、Pytorch等開源軟件的發(fā)展。據(jù)美國 Forrester Research 公司估計 ，全球 80% 的軟件包含開源組件，同時 Github 的 2021 年度報告顯示，平臺開發(fā)者數(shù)量從 2018 年的 3 100 萬增至 2021 年的 7 300萬，而 2018 年的新用戶數(shù)比前 6 年的新用戶數(shù)總和還要多。并且在過去的 6 年里，Github 平臺首次開源項目貢獻者數(shù)量，以 28% 的年平均增長率從近 70 萬增至 305 萬?？偟膩砜?，開源軟件的發(fā)展已完成由個人興趣到行業(yè)驅動的轉變，成為全球軟件開發(fā)的基礎。

同 時，2021 年我國開源軟件開發(fā)者已達755 萬人，華為、阿里等公司參與開源項目的開發(fā)者人數(shù)均列居全球前 10 位，預計到 2030 年，我國將成為世界上最大的開源項目應用市場 。此外，開源軟件在我國電信和互聯(lián)網、黨政辦公、網絡安全等領域應用比例超過 80%，教育培訓、醫(yī)療健康、金融服務等領域應用比例近 70%，已成為我國軟件生態(tài)不可或缺的組成部分。

開源軟件的發(fā)展越迅猛，其所帶來的安全風險越不容忽視。然而現(xiàn)有針對開源軟件安全風險的研究多從宏觀管理側展開，其對應的防范措施也不包含技術面防范措施，此外，針對開源軟件在關鍵信息基礎設施這一重要應用領域的風險防范研究也有待補充。結合開源軟件自身特性和發(fā)展歷程，綜合開源軟件在各個場景的應用來研究分析其對現(xiàn)代社會、技術行業(yè)的影響，總結梳理開源軟件帶來的安全風險并提出應對措施，特別是從監(jiān)管側出發(fā)，開展關鍵信息基礎設施中開源軟件的安全風險防范研究，并依靠現(xiàn)有開源平臺給出技術側風險防范研究思路，對保障我國開源軟件安全、網絡空間安全乃至國家安全具有重要意義。

1、開源軟件風險分析

隨著開源軟件應用范圍逐漸擴大，特別是在關鍵信息基礎設施中被廣泛采用，開源軟件所帶來的安全風險也日益嚴峻，大致可分為以下幾個方面 。

1.1 供應鏈安全風險

當下，開源軟件供應鏈中的主要角色為受西方把控的商業(yè)科技巨頭、開源基金會、開源社區(qū)及代碼托管平臺，其中商業(yè)科技巨頭和開源基金會大多把持著開源社區(qū)及代碼托管平臺，在開源軟件供應鏈中占據(jù)龍頭地位。我國開源生態(tài)整體水平較弱，國內廠商出于成本、安全、質量、效率的綜合考慮，大多直接參與到受國外主導，尤其是受美國主導的成熟開源生態(tài)中，但國外開源軟件的監(jiān)管受其主權影響往往會帶來不可控的供應鏈安全風險 。在開源基金會方面，Apache 基金會明確表明遵循美國出口管制條例，Mozilla 基金會則表示其司法管轄權歸屬美國加利福尼亞州，RISC-V 基金會也聲明其司法管轄權在美國特拉華州；在開源平臺方面，GitHub、SourceForge 及 Google Code 等代碼托管平臺均明確遵守美國出口管制條例，且司法管轄權在美國加利福尼亞州。受美國政府影響，2020 年 8 月，Docker 宣布被美國列入實體清單的個人和組織無法使用 Docker 旗下的服務，如DockerEE 和 DockerHub。綜上，在全球開源軟件供應鏈中自主性較差、依附性較強、處于弱勢地位的國家，一旦供應鏈“命門”被別人掌握，隨時可被斷供制裁，造成重大安全風險 。

1.2 開源軟件源代碼安全風險

開源軟件在廣泛普及的同時，其源代碼自身帶來的安全風險影響也隨之擴大，可總結為以下 3 個方面。

1.2.1 開源軟件代碼安全開發(fā)規(guī)范應用不足，安全漏洞數(shù)量居高不下

開源軟件具有開放、低成本、自由參與、廣泛傳播等特性，在開源軟件的更新迭代過程中，不同時期參與的開發(fā)群體，其自身技術能力和安全意識參差不齊，加上開源平臺或社區(qū)并不對開源代碼的安全性進行審核，因此開源軟件源代碼往往更容易爆發(fā)漏洞。據(jù)奇安信《2021中國軟件供應鏈安全分析報告》，奇安信代碼安全實驗室在 2020 年對 2 001 個自主開發(fā)的軟件源代碼進行了安全檢測，檢測結果顯示源代碼的安全風險點密度約為 10 個 / 千行，高危風險點密度約為 1 個 / 千行；同期對 1 300 多個開源軟件源代碼所進行的檢測結果顯示，開源軟件整體風險點密度為 15 個 / 千行，高危風險點密度為 1 個 / 千行。在高危風險點密度大致相等的情況下，開源軟件的源代碼風險點密度更高，更容易爆發(fā)安全漏洞。

1.2.2 開源代碼漏洞影響范圍和危害難以估量

由于開源軟件在眾多行業(yè)領域內廣泛應用，不同開源軟件形成你中有我、我中有你的復雜關系，導致開源軟件的使用比想象中更廣泛，一旦爆發(fā)漏洞，其造成的危害遠超人們預期。

有研究表明，一半以上的企業(yè)、政府機構、非營利組織等使用的開源組件包含漏洞 。據(jù)奇安信報告，在其 2020 年調研的涉及公共、金融、電信、能源等重要行業(yè)的 2 557 個軟件中，均有開源軟件的存在。因此，當某一個開源軟件或組件爆發(fā)漏洞時，其覆蓋面往往超過人們預期。事實上，前述 2 557 個軟件中，約 90% 的軟件存在已知的開源軟件漏洞，約 80% 的軟件存在已知的高危漏洞，約 70% 的軟件存在已知的超危漏洞。2014 年 4 月，開源組件 OpenSSL 被發(fā)現(xiàn)存在心臟滴血漏洞（Heartbleed），且該漏洞至少從 2012 年 5 月所發(fā)布的版本就已經存在，攻擊者可利用該漏洞獲取可能包含了證書私鑰、用戶名、用戶密碼、用戶郵箱等敏感信息的數(shù)據(jù)，在近兩年的時間內，該漏洞造成的影響根本難以估量。2021 年 12 月，開源組件 Apache Log4j2被發(fā)現(xiàn)存在遠程代碼執(zhí)行高危漏洞（Log4Shell），由于 Apache Log4j2 組件性能好、利用門檻低，該漏洞短時間內席卷全球，Steam、推特、亞馬遜等多家公司或服務平臺受到該漏洞影響。綜上，一旦不能及時處理開源軟件高危漏洞，將很有可能威脅到整個網絡空間，甚至危害國家安全。

1.2.3 開源軟件可隨時演變?yōu)榫W絡攻擊武器

由于眾多開源軟件使用者存在“開源等于安全”的錯誤理念，導致使用者在下載更新開源軟件時，往往忽略開源軟件自身存在的風險，同時維護者可隨時修改代碼，將其作為網絡攻擊媒介。開源 Unix 系統(tǒng)管理工具 Webmin 曾被發(fā)現(xiàn)存在遠程代碼執(zhí)行高危漏洞，且該漏洞并非無意的編碼錯誤，而是開發(fā)人員惡意修改代碼所導致。同時，在最近的俄烏沖突中，Github平臺node-ipc軟件包被發(fā)現(xiàn)人為注入惡意代碼，該惡意代碼可根據(jù) IP 地址定向刪除俄羅斯地區(qū)用戶的文件。

1.3 開源軟件管理安全風險

除供應鏈斷供制裁風險、代碼安全風險外，在開源軟件全生存周期中，還存在著安全責任歸屬不明、用戶安全能力和安全意識不足、末端關聯(lián)資產排查不清等管理安全風險。

1.3.1 安全責任歸屬不明

通常，開源社區(qū)或平臺不承擔開源軟件的漏洞安全修復責任，而軟件使用者同樣不承擔軟件安全責任，僅僅負責維護其自身設備或應用，這使得開源軟件安全責任歸屬不明。在不承擔安全責任的基礎上，大多數(shù)開源軟件使用者很難對使用的開源軟件進行高質量的安全審計，一旦開源軟件存在漏洞，只能被動等待開源軟件平臺方或維護方主動發(fā)布修補通知，導致修復或加固工作滯后。此風險疊加斷供制裁風險，將會對我國網絡空間安全乃至國家安全造成更加嚴重的威脅。

1.3.2 用戶安全能力和安全意識不足

開源社區(qū)的松散式開發(fā)維護模式并不對代碼的安全機制進行全面審核，使得開源軟件能夠較為容易地被人為置入后門或惡意程序，而對使用開源軟件的用戶而言，由于缺少安全風險信息跟蹤能力，針對開源軟件安全風險防范和修復存在明顯的滯后性，嚴重威脅相關系統(tǒng)的安全運行。此外，開源軟件的自由屬性使得大多數(shù)活躍在開源社區(qū)或平臺的用戶往往注重編程能力培養(yǎng)，而忽視安全能力提升，疊加開源軟件的主要使用廠商或貢獻廠商往往傾向于忽視安全方面資源經費投入，使得開源軟件安全風險防范能力無法有效提高 。

1.3.3 末端關聯(lián)資產排查不清

目前，商業(yè)軟件供應商通常在未做安全驗證的情況下直接引用開源軟件，并將其集成和開發(fā)至商業(yè)軟件產品中，導致企業(yè)用戶信息系統(tǒng)中被動地引入了相關組件。開源軟件來源合法性和安全測試驗證機制缺失，用戶在應用相關產品時存在不可知、不可控的安全風險。在開源軟件的開發(fā)和使用過程中，不同開源軟件之間的復雜依賴關系使得絕大多數(shù)廠商無法準確梳理其自身的開源軟件使用情況 。一方面，軟件開發(fā)者可能疏于管理，使得已存在漏洞的開源軟件代碼被整合至新版本軟件；另一方面，使用者可能疏于統(tǒng)計，無法準確排查存在風險的開源軟件在其設備資產中的具體部署情況。上述情況均會帶來一定程度的風險隱患。

2、開源軟件風險防范

針對前文所總結的開源軟件供應鏈安全、源代碼安全、管理安全等安全風險，本文在政策面上提出打造開源網絡安全生態(tài)、建設國家級開源平臺和項目以發(fā)展促安全、面向關鍵信息基礎設施開展開源軟件網絡安全專項整治等安全防范措施；在技術面上依托開源平臺開展軟件源代碼分析，實現(xiàn)軟件缺陷及漏洞預測。最終形成如圖 1 所示的“政策 + 技術”雙驅動開源軟件網絡安全防范體系。

圖 1 “政策 + 技術”雙驅動開源軟件網絡安全防范體系

2.1 政策面風險防范措施

2.1.1 打造開源軟件網絡安全生態(tài)

開源軟件網絡安全生態(tài)脫胎于開源軟件生態(tài)，主要是為開源軟件營造安全可靠的發(fā)展環(huán)境。在開源軟件成長周期中，商業(yè)科技公司為充分利用開源軟件帶來的諸多優(yōu)勢，會圍繞開源軟件進行業(yè)務拓展，同時部分開源軟件項目也是基于商業(yè)利益驅動，進而形成“商業(yè) + 開源”的利益共同體，演化為各種開源軟件生態(tài)。基于開源軟件生態(tài)的成長歷程，我國開源軟件網絡安全生態(tài)的構建需要 3 方面共同發(fā)力。

一是發(fā)起成立全球知名的開源基金會。開源基金會是為開源軟件發(fā)展提供日常的運營、管理及資金支持的非營利性組織，是生態(tài)的重要基石。同時，開源軟件基金會為商業(yè)公司和開源軟件開發(fā)者打造交流、合作的平臺，自身掌握大量開源代碼，為多個重要領域的應用軟件提供服務。例如，國外著名的 Apache 基金會收錄了 Tomcat、Hadoop 等知名開源項目，推動 Web服務和大數(shù)據(jù)的發(fā)展，OpenStack 基金會旗下的OpenStack 項目則是目前應用最為廣泛的云計算解決方案。目前我國已成立中國開源云聯(lián)盟、開放原子開源基金會等組織，助力 XuperChain、OpenHarmony 等開源項目的發(fā)展，但搶占全球開源話語權，構建開源軟件網絡安全生態(tài)，尚需打造更加知名的基金會，并培育更多開源項目，以此奠定我國開源安全生態(tài)的基石。

二是助力知名軟件企業(yè)成長為開源行業(yè)龍頭。據(jù)歐盟委員會發(fā)布的 The 2021 EU Industrial Research and Development Scoreboard 統(tǒng) 計 ，全球 2020 年研發(fā)投入排名前十的企業(yè)中，我國僅有華為一家上榜，而同期美國谷歌、微軟、蘋果、臉書、英特爾共 5 家公司位列前十。在對包含開源軟件在內的研發(fā)投資總體規(guī)模上，我國大型科技企業(yè)對比國際知名科技巨頭更是處于明顯劣勢。受此劣勢影響，我國科技產業(yè)賴以生存的底層操作系統(tǒng)、數(shù)據(jù)庫等核心軟件，均嚴重依賴受國外主導的開源社區(qū)或商業(yè)科技公司。

三是打造各方認可的開源安全文化。開源安全文化是我國開源軟件網絡安全生態(tài)長久發(fā)展的內在價值觀及外在行動力的綜合體現(xiàn)。其不僅依賴于開源開發(fā)群體具有較強的安全開發(fā)能力，也依賴于開源基金會、大型科技公司等共同營造開源安全開發(fā)氛圍，包括開展企業(yè)安全管理、安全開發(fā)培訓、代碼安全檢測、開源安全應用等實際行動，此外更需要社會各方在政策扶持、知識版權保護、標準完善等方面一同發(fā)力，助力開源安全文化發(fā)展。

2.1.2 建設國家級開源平臺和項目以發(fā)展促安全

國家級開源平臺和項目的建設與全球知名開源基金會的成立同等重要，其目的都是全面推進開源軟件產業(yè)化、規(guī)?；?。2020 年，開源中國聯(lián)合國家工業(yè)信息安全發(fā)展研究中心等單位，華為、奇安信、浪潮等科技公司，北京理工大學、西南科技大學等高校，依托碼云 Gitee建設中國獨立的開源托管平臺。同時，基于華為打造的 HarmonyOS 系統(tǒng)，由開放原子開源基金會孵化及運營的 OpenHarmony 開源項目也已在 Gitee 平臺上繁榮發(fā)展。目前 OpenHarmony 開發(fā)成員數(shù) 235、倉庫數(shù) 401、貢獻數(shù) 2 400、代碼庫復制數(shù) 25 600，已成為 Gitee 平臺最有價值的開源項目之一。在此工作基礎上，應當持續(xù)打造我國自主掌握的高質量開源托管平臺，脫離對國外成熟開源平臺的依賴，培育更多助力我國軟件產業(yè)發(fā)展的核心開源軟件項目，在平臺側和軟件側同時引領創(chuàng)新，有力遏制開源供應鏈斷供制裁風險。

2.1.3 面向關鍵信息基礎設施開展開源軟件網絡安全專項整治

關鍵信息基礎設施，是指公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業(yè)等重要行業(yè)和領域的，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴重危害國家安全、國計民生、公共利益的重要網絡設施、信息系統(tǒng)等 。關鍵信息基礎設施的保護是國家推進數(shù)字經濟發(fā)展的重要保障，目前開源軟件已滲透到各行各業(yè)的網絡設施和信息系統(tǒng)中，基于關鍵信息基礎設施的重要性，梳理開源軟件在關鍵信息基礎設施中的使用情況尤為迫切。面向關鍵信息基礎設施開展開源軟件網絡安全專項整治需各部門協(xié)同發(fā)力，常態(tài)化開展整治工作，建立本部門、本行業(yè)、本領域關鍵信息基礎設施開源軟件資產清單，掌握開源軟件供應鏈情況，定期開展開源軟件應用安全培訓及系統(tǒng)安全威脅檢測，及時驗證并修復漏洞。

2.2 技術面風險防范措施

基于政策面建設國家級開源平臺的措施，可通過同步在開源平臺側開展源代碼靜態(tài)分析，進而實施代碼缺陷和漏洞預測，來實現(xiàn)在軟件生命周期的初始階段為開發(fā)者和使用者提供漏洞風險預警及排查參考。

開展源代碼靜態(tài)分析并實施漏洞檢測具有以下優(yōu)點。一是源代碼靜態(tài)分析可用于代碼中的函數(shù)單元，這使得某些較為明顯的漏洞可在開發(fā)階段被及時發(fā)現(xiàn)。二是檢測速率高，能夠檢測代碼數(shù)量大的軟件。源代碼靜態(tài)分析不依賴人工，當前基于詞語法分析、符號執(zhí)行、模型檢驗、機器學習、深度學習等理論的長足發(fā)展，也使得源代碼靜態(tài)分析能力得到快速提高。

2.2.1 開展源代碼靜態(tài)分析技術基礎

針對開源代碼開展靜態(tài)分析以檢測其存在的漏洞或其他風險隱患，主要基于兩種技術。一種技術為不同代碼間的特征比對，該技術的本質為用同一種特征提取手段分別提取目標代碼 Code_A 的特征 Ca 與參考代碼 Code_R 的特征Cr 并進行對比，如果代碼特征相同，則意味著代碼內容一致，其風險點也一致。

在進行特征比對時，比對結果的準確性依賴于代碼特征提取及比對方法、代碼特征庫（參考代碼庫）的全面性和準確性兩個方面。

另一種技術為不同代碼之間的依賴關系比對，該技術通常需要對完整代碼而非截取代碼片段進行分析，其主要基于比對不同代碼中依賴的外部函數(shù)庫或組件，如果目標代碼 Code_A引用了已知存在風險點的代碼庫或函數(shù) Code_B，則目標代碼通常會存在相同的風險點。

其中，為 Code_A 存在的風險點，為 Code_B 存在的風險點。在進行依賴關系比對時，比對結果的準確性依賴于對代碼依賴的外部函數(shù)庫或組件的識別能力、代碼依賴的遞歸分析能力兩個方面。

2.2.2 基于深度學習的開源代碼靜態(tài)分析

目前，開源平臺上源代碼數(shù)據(jù)快速增長，使得基于機器學習和深度學習的靜態(tài)分析技術快速發(fā)展，自動化對比特征提取識別技術愈發(fā)成熟。在基于機器學習的漏洞檢測方面，Backes等人 率先利用機器學習方法實現(xiàn)了對敏感信息泄露漏洞的自動檢測，Moshtari 等人則致力于尋找在跨項目中影響漏洞檢測準確率的特征，其發(fā)現(xiàn)選用復雜度作為特征指標，比選取耦合度更能預測漏洞，同時提出了新的耦合度量——內嵌漏洞標題（Included Vulnerable Header，IVH）度量，使得漏洞檢測準確率從 60.9% 提高到 87.4%。在基于深度學習的漏洞檢測方面，Phan 等人 提出，模型特征不能準確捕獲程序的語義是影響預測準確率的重要原因，故其利用精確的圖形表示程序執(zhí)行流，并利用深度神經網絡自動學習缺陷特征。Song 等人  利用深度信任網絡程序的抽象語法樹中提取的令牌向量自動學習語義特征，并利用 10 個大型開源項目進行驗證，結果表明與傳統(tǒng)特征相比，自動學習的語義特征提高了項目內缺陷預測 14.7%的準確率和跨項目缺陷預測 8.9% 的準確率。

在 最 新 的 研 究 中， 采 用 基 于 二 倍 體 遺 傳算法與深度學習融合的遺傳算法模型（DNN SYMbiotic GAs）以及自然語言處理技術來提高預測準確率 的相關研究正在廣泛開展?；跈C器學習和深度學習的漏洞檢測框架分別如圖 2、圖 3 所示。

圖 2 基于機器學習的漏洞檢測框架

圖 3 基于深度學習的漏洞檢測框架

目前，深度學習在靜態(tài)分析的漏洞檢測方面達到了 95% 的準確性 。盡管在真實場景中，其準確率稍有下降，但也正因此，面向開源平臺部署基于深度學習的漏洞檢測技術，可同時完成提高漏洞檢測模型準確率、增強相關科研領域綜合實力和降低開源軟件安全風險、提升網絡空間綜合防御能力兩方面目標。

3、結語

開源軟件的應用越廣泛，其所隱含的安全問題越不可忽視。做好開源軟件的安全風險分析及防范措施研究是每個網絡安全研究人員的重點工作。本文在系統(tǒng)分析開源軟件安全風險的 基 礎 上， 提 出“ 政 策 + 技術”雙驅動安全風險防范體系，依托打造開源網絡安全生態(tài)、建設國家級開源平臺和項目、面向關鍵信息基礎設施開展專項整治等政策面防范措施和依托開源平臺開展軟件源代碼分析等技術面防范措施，多角度防范開源軟件安全風險。需要清醒認識的是，開源軟件安全風險將會隨著軟件的發(fā)展隨時產生新的變化，諸如知識產權、責任歸屬等問題也有待進一步明晰。后續(xù)，應隨時跟進風險點的新變化，并結合有關主管部門或行業(yè)單位的工作實際，動態(tài)調整現(xiàn)有防范措施，持續(xù)為我國網絡空間安全乃至國家安全提供助力。

原文來源：信息安全與通信保密雜志社