WEB系統(tǒng)安全之開源軟件風(fēng)險使用評估

本文分享自天翼云開發(fā)者社區(qū)《WEB系統(tǒng)安全之開源軟件風(fēng)險使用評估》,作者:Coding

https://www.ctyun.cn/developer/article/430900080308293

中國信息通信研究院（China Academy of Information and Communications Technology，以下簡稱“中國信通院”）在2021年舉辦的“ OSCAR 開源產(chǎn)業(yè)大會”上，發(fā)布了《開源生態(tài)白皮書》，在其中雖然沒有專門闡述開源軟件的風(fēng)險如何防范，但是在其中說明了開源軟件的風(fēng)險和挑戰(zhàn)，以及我國在開源治理上的經(jīng)驗(yàn)。

在對WEB系統(tǒng)的開源軟件風(fēng)險進(jìn)行評估時，需要參考白皮書中的開源治理要求。不管是直接使用開源軟件，或者購買使用了開源技術(shù)的商業(yè)軟件都需要去考慮開源技術(shù)帶來的風(fēng)險，但是這兩種情況規(guī)避風(fēng)險的責(zé)任主體不同。

在風(fēng)險評估時，按照違約風(fēng)險、知識產(chǎn)權(quán)風(fēng)險、技術(shù)鎖定風(fēng)險、數(shù)據(jù)安全風(fēng)險幾個方面進(jìn)行分析。

1.違約風(fēng)險

在WEB系統(tǒng)使用開源軟件時，如果沒有遵守開源軟件的法律要求，可能會面臨法律訴訟、產(chǎn)品召回、聲譽(yù)損失等風(fēng)險。

2.知識產(chǎn)權(quán)風(fēng)險

開源軟件提倡的開源精神內(nèi)核是公開、自由、創(chuàng)新，為產(chǎn)業(yè)發(fā)展注入了巨大的活力。但是WEB系統(tǒng)在使用時如果不了解知識產(chǎn)品和開源軟件的開源許可證聲明內(nèi)容，可能會侵犯開源軟件權(quán)利人的知識產(chǎn)權(quán)，會給WEB系統(tǒng)所屬的企業(yè)或者個人帶來經(jīng)濟(jì)與聲譽(yù)損失。

而且多數(shù)的開源軟件許可證中都存在免責(zé)條款，聲明作者不提供任何擔(dān)保責(zé)任。如果開源軟件依賴了第三方私人技術(shù)，WEB系統(tǒng)因?yàn)槭褂昧怂饺思夹g(shù)遭受訴訟，開源軟件作者不承擔(dān)任何責(zé)任。

3.技術(shù)鎖定風(fēng)險

一些開源軟件可能存在技術(shù)鎖定問題，如果WEB系統(tǒng)過于依賴該軟件，可能導(dǎo)致后續(xù)無法剝離，對業(yè)務(wù)的發(fā)展產(chǎn)生不利影響。

4.數(shù)據(jù)安全風(fēng)險

開源軟件存在的安全缺陷相比其它軟件多，當(dāng)前很多企業(yè)在使用時沒有完全按照規(guī)范，甚至可能無法列出使用的開源軟件清單。類似系統(tǒng)信息泄露、密碼管理、資源注入、跨站請求偽造、跨站腳本、HTTP 消息頭注入、SQL 注入、越界訪問、命令注入、內(nèi)存泄漏等安全缺陷都有可能被引入到WEB系統(tǒng)中。

為了降低風(fēng)險，更好地使用開源軟件，需要按照以下方式對上述的風(fēng)險進(jìn)行規(guī)避。

1.規(guī)避違約風(fēng)險

嚴(yán)格遵守開源軟件許可證的要求，避免違規(guī)使用。

2.規(guī)避知識產(chǎn)權(quán)風(fēng)險

正確處理知識產(chǎn)權(quán)問題，評估開源軟件依賴的技術(shù)，加強(qiáng)知識產(chǎn)權(quán)意識。

3.規(guī)避技術(shù)鎖定風(fēng)險

避免過于依賴單個開源軟件，在選取和使用時要考慮盡可能使用多個開源軟件，避免技術(shù)鎖定。

4.規(guī)避數(shù)據(jù)安全風(fēng)險

定期檢查WEB系統(tǒng)以及系統(tǒng)依賴的開源軟件是否存在安全漏洞，及時修復(fù)漏洞。