摘　要：自互聯(lián)網時代來臨以來，開源軟件為新一代信息技術的創(chuàng)新發(fā)展做出了巨大貢獻，同時，開源軟件漏洞數量也在持續(xù)增加。由于開源軟件的開放性和共享性特質，其影響范圍與深度也日益擴大。通過分析開源軟件和閉源軟件的區(qū)別，指出了建立開源軟件漏洞治理體系的必要性，從開源用戶、開源社區(qū)、代碼托管平臺等主體出發(fā)，研究發(fā)現開源軟件漏洞治理存在安全意識缺乏、安全資源投入有限、漏洞情報獲取信息差等問題。基于此，提出營造安全氛圍、推進開源項目高質量發(fā)展、建立開源公共服務平臺等對策建議，以期為相關研究和實際應用提供參考。

內容目錄：

1　開源軟件漏洞治理背景及現狀分析
1.1　開源軟件蓬勃發(fā)展、應用廣泛
1.2　我國開源社區(qū)起步晚，處于追趕階段
1.3　漏洞數量穩(wěn)步增加，影響范圍擴大
2　開源軟件漏洞治理的必要性分析
2.1　開源與閉源軟件安全的差異性分析
2.2　開源與閉源漏洞的差異性分析
3　開源軟件漏洞管理的挑戰(zhàn)
3.1　開源用戶安全意識缺乏
3.2　安全資源投入不足
3.3　漏洞情報獲取存在信息差
3.4　開源社區(qū)的漏洞管理挑戰(zhàn)
3.5　代碼托管平臺受攻擊風險增加
4　我國開源軟件漏洞治理建議
4.1　營造安全氛圍
4.2　推進開源項目高質量發(fā)展
4.3　建立開源公共服務平臺
4.4　開展關鍵信息基礎設施安全治理
4.5　增強對開源漏洞數據的安全保護
4.6　推廣先進技術應用
5　結　語

當前，軟件供應鏈攻擊頻發(fā)，攻擊者利用供應鏈上下游的信任關系，以軟件開發(fā)、分發(fā)和使用過程中的各個環(huán)節(jié)為攻擊切入點。近年來，開源項目數量爆發(fā)式增長，開源軟件（Open-Source Software，OSS）在全球軟件生態(tài)中的地位日益增 強， 成 為 攻 擊 者 的 主 要 目 標 之 一。2024 年2 月，在 Linux、Unix 等系統(tǒng)中，廣泛用于處理 .xz文件的套件 XZ-Utils 被隱秘植入后門，如未能及時發(fā)現，攻擊者將能夠侵入大量服務器。此外，存在超危漏洞的 Apache Log4j 等開源組件，由于其被大量組件直接或間接依賴，且依賴關系錯綜復雜，使得其影響范圍遍及整個網絡空間。2023 年，紀守領等人  針對 OSS 供應鏈的攻擊事件，從攻擊發(fā)生環(huán)節(jié)、攻擊類型等方面進行了系統(tǒng)的分析。

目前，美、歐等主要經濟體已將 OSS 安全、供應鏈安全納入戰(zhàn)略文件，以促進開源生態(tài)安全穩(wěn)健發(fā)展。然而，OSS 發(fā)展與安全之間存在復雜的辯證關系，在 OSS 數量增長、應用加深的形勢下，越來越多的安全問題不斷涌現，開源生態(tài)各相關方面臨的挑戰(zhàn)加劇。

本文針對該問題，從 OSS 漏洞治理的必要性分析切入，深入挖掘 OSS 發(fā)展伴生的漏洞管理問題，探討 OSS 漏洞管理面臨的挑戰(zhàn)，并提出相應的應對建議，以期推動 OSS 發(fā)展并提升安全的統(tǒng)籌管理效能。

1 開源軟件漏洞治理背景及現狀分析

1.1　開源軟件蓬勃發(fā)展、應用廣泛

目前，OSS 已成為全球軟件開發(fā)的重要組成部分，2022 年，GitHub 托管的倉庫已達 3.5 億個，在 2021 年的基礎上新增倉庫 9 000 萬個，增長率達 33%，近三年內首次增速提升 。在此趨勢下，我國 OSS 發(fā)展也走上快車道。《2023 中國開源發(fā)展藍皮書》指出，截至 2023 年，我國已擁有全球最大規(guī)模的開發(fā)者群體 。當前，我國開源開發(fā)者數量已突破 800 萬，排名居全球第 2，年新增數量居全球第 2，我國開源開發(fā)者數量正以令人矚目的速度快速增長 。同時，2022 年由華人主導的開源項目數量已達 2 500 萬個，項目數量與質量雙雙提升，部分開源項目已進入全球開源項目排行榜前列，例如 PaddlePaddle、TiDB、ant-design、Flink、Pulsar、Doris、esp-idf、tvm、ShardingSphere、DolphinScheduler等均展現出較高的影響力 。

此外，我國已經發(fā)展成為全球最大的 OSS應用市場，高忠誠度用戶層出不窮 。我國 OSS的研發(fā)與應用不僅深入了操作系統(tǒng)，還逐步通過數據庫和中間件向各個應用領域蔓延和滲透。在信息技術的創(chuàng)新中，OSS 的身影也隨處可見。大數據、云原生、云計算成為最活躍的開源應用領域，同時開源在人工智能、物聯(lián)網與元宇宙等新領域也發(fā)展強勁，開源生成式人工智能項目已成為 2023 年最受歡迎的項目之一。開源技術在我國關鍵領域和重點行業(yè)得到進一步廣泛應用，在金融、電信、政務等部分行業(yè)已顯現出開源應用的領先態(tài)勢，以智能汽車為代表的數字化重點領域也大量使用了開源代碼 。

1.2　我國開源社區(qū)起步晚，處于追趕階段

如今，全球 OSS 項目“馬太效應”凸顯，頭部項目“斷層式領先”，而我國 OSS 發(fā)展與國際發(fā)展相比仍存在明顯差距，我國尚未形成較為成熟、有較強國際影響力的開源社區(qū)。

美國的 OSS 起源于 20 世紀 90 年代，與互聯(lián)網的興起和計算機科學領域的創(chuàng)新密切相關。許多著名的開源項目，如 Linux 和 Apache，起初是由美國的個人、組織創(chuàng)建和維護的。開源理念在美國的高校和企業(yè)中迅速傳播，形成了強大的創(chuàng)新文化。而我國的 OSS 發(fā)展相對較晚，直到近年來，我國政府和企業(yè)進一步提高對開源的重視程度，才出現了規(guī)模較大的開源社區(qū)。

盡管如此，我國開源社區(qū)的項目數量和開發(fā)者數量在過去幾年仍取得了較大增長，我國的科技企業(yè)巨頭如華為、阿里巴巴和騰訊積極支持開源項目，國際影響力仍有進一步提升的空間。目前，國內的開源社區(qū)主要聚焦在國內發(fā)展，圍繞國內開發(fā)者進行項目推進與生態(tài)建設，在打通語言、渠道障礙，發(fā)展成為連接全球開發(fā)者的橋梁方面投入不足。大多開源項目的文檔僅使用中文，項目的待完成事務、拉取請求也都以中文為主，社區(qū)與開發(fā)者之間溝通的渠道大多采用微信群、微信公眾號等國內社交網絡，全球化渠道缺乏。這些手段無法讓國外開發(fā)者了解、熟悉我國的開源項目，進一步阻礙了我國開源社區(qū)的國際化。

同樣的，在安全能力建設方面，國外開源基金會組織建設相對完善，在 Linux 基金會及其聯(lián)合其他廠商成立的開源軟件安全基金會的支持下，做好了較為詳細的工作劃分，其在安全能力建設方面走在世界前沿，在數字簽名、語言替換方面已取得成效，并將研究重點放在漏洞的挖掘與修復方面，具體投入如表 1 所示 。而國內基金會起步較晚，直到 2020 年開放原子基金會的建立才實現開源基金會零的突破，2022 年其下屬開源安全委員會才成立。因此，我國基金會在安全能力建設工作方面仍較落后，細化工作尚未開展，整體規(guī)模較國際一流開源基金會存在較大差距，不利于我國開源基金會的長遠發(fā)展。

表 1　開源軟件安全基金會與 Linux 基金會的開源軟件安全動員計劃內容及投入

1.3　漏洞數量穩(wěn)步增加，影響范圍擴大

盡管 OSS 的代碼透明性和協(xié)作性為創(chuàng)新提供了廣闊的平臺，但與此同時，漏洞的廣泛存在也成為開源軟件用戶面臨的持續(xù)且嚴重的挑戰(zhàn)。當前，OSS 漏洞層出不窮，對開發(fā)者、用戶等開源生態(tài)相關方造成了嚴重的危害 。

（1）OSS 漏洞數量持續(xù)處于高位。Synopsys公司發(fā)布的《2023 年開源安全和風險分析報告》顯示，2022 年，Black Duck 審計服務團隊審計了涵蓋 17 個行業(yè)的 1 703 個代碼庫，其中 84% 的代碼庫至少包含一個已知開源漏洞，比《2022 年開源安全和風險分析報告》增加了近 4%，且48% 的代碼庫包含高風險漏洞。同時，Snyk和 Linux 基金會 2022 年發(fā)布的開源安全調查報告顯示，一個應用程序開發(fā)項目平均有 49 個漏洞和 80 個直接依賴項。此外，修補開源項目漏洞所需的時間也在穩(wěn)步增加。2018 年修補安全漏洞平均需要 4 天，而 2021 年修補一個補丁大約需要 110 天 。

（2）OSS 漏洞影響范圍擴大。Synopsys 公司《2023 年開源安全和風險分析報告》顯示 ，2022 年仍存在大量早在 2021 年就已披露的漏洞，例如 2021 年影響最大的 Apache Log4j2 漏洞，GitHub 超過 8 600 個 OSS 直接依賴 Log4j2 組件，最終超過 20 萬個 OSS 受到了影響，全球近一半的企業(yè)存在被黑客攻擊的風險 。然而，在開源項目所有者第一次發(fā)布 OSS 修補版本的一周后，仍有超過 80% 的間接關聯(lián) OSS 沒有完成修補，同時基于 Apache Log4j2 漏洞的新變種也正在迅速衍生，并且很可能在未來一直存在并持續(xù)造成危害。

2 開源軟件漏洞治理的必要性分析

與閉源軟件相比，OSS 具有不同的開發(fā)模式和信任主體。在漏洞管理中，開源和閉源漏洞在識別、修補及響應速度方面的舉措也存在差異，因此需要在現有漏洞管理體系的基礎上針對 OSS進行補充，建立區(qū)別于閉源漏洞的治理方法。

2.1　開源與閉源軟件安全的差異性分析

2.1.1　模塊化開發(fā)下，開源組件數量多

與閉源軟件相比，OSS通常采用模塊化設計，將功能劃分為相對獨立的模塊或庫，這種模塊化的設計使 OSS 使用了更多的依賴庫，程序通常直接或間接地依賴于成百上千個軟件包和庫，比如，Kubernetes 依賴大約 1 000 個軟件包。然而，持續(xù)跟蹤這些軟件包需要耗費大量的基礎設施和人力資源。即使將內部使用的所有開源包放在一個代碼托管平臺上作為私有倉庫，用以輔助管理開源使用的軟件包，跟蹤全部的依賴更新依然困難重重，龐大的更新流令人望而卻步。

2.1.2　開源項目關聯(lián)復雜，涉及大量開發(fā)者和供應商

OSS 中各種組件和庫往往相互依賴，形成了一個錯綜復雜的網絡。這種復雜的依賴關系樹是 OSS 發(fā)展的基礎，同時也是其脆弱性的潛在來源。與閉源軟件相比，OSS 的供應商可以是由來自全球各地的獨立開發(fā)者、組織、研究機構等組成的。這種開放性使得 OSS 的依賴關系更加分散，需要驗證的上游組件貢獻者數量巨大。在閉源軟件中，通常只需對少量軟件開發(fā)公司或組織進行管控，而在 OSS 中，需要管控數十、數百，甚至數千個項目和其貢獻者。這使得確保整個依賴關系樹的安全和可信性變得更為復雜，每個實體都可能對整個系統(tǒng)的安全性產生影響。

2.2　開源與閉源漏洞的差異性分析

2.2.1　漏洞識別

OSS 的代碼是公開的，任何人都可以查看和審查代碼。因此，漏洞通常更容易被發(fā)現和報告，也更容易被修補。而閉源軟件的代碼是私有的，外部人員無法直接查看代碼。這可能導致漏洞不易被發(fā)現和報告，同時，漏洞修補能力取決于供應商的安全能力。

2.2.2　漏洞修補責任

OSS 漏洞修補是協(xié)作性的過程，責任分散在多個利益相關者之間。開源項目的維護者和貢獻者通常承擔對漏洞進行處置的職能，他們通常會接受漏洞報告，分析漏洞，編寫修補程序，并發(fā)布修補程序或更新。使用 OSS 的用戶也需要采取措施保障安全使用，用戶往往會積極報告漏洞，測試修補程序，并確保及時升級版本。這種分散的責任體系可能有助于加速漏洞修補進程，也可能導致一些漏洞被忽視或較慢地修補。相比之下，閉源軟件由供應商集中管理，漏洞修復過程更加可控。

2.2.3　響應速度

在安全事件發(fā)生后的響應方面，OSS 通常具有更快的響應速度。開源安全事件往往波及范圍廣，影響范圍大，受重視程度高，在多家頭部企業(yè)、廣大用戶的協(xié)同下，可以迅速提供補丁和更新。相比之下，閉源軟件的安全事件通告依賴于軟件提供商的策略和時間表，應急響應處置也受限于供應商本身的安全能力。

3 開源軟件漏洞管理的挑戰(zhàn)

3.1　開源用戶安全意識缺乏

開源社區(qū)中的許多開發(fā)者更加注重功能開發(fā)和代碼優(yōu)化，而對于安全性的關注較為有限，因此在 OSS 的選型和持續(xù)運營過程中存在安全意識缺乏這一主要問題，這會導致 OSS 漏洞管理存在版本混亂、無人維護，漏洞發(fā)現與修補滯后及安全事件爆發(fā)后應對不當等后果。

（1）版本混亂、無人維護。在用戶的 OSS生態(tài)中，可能存在大量的開源組件，版本混亂和無人維護的問題日益凸顯。用戶可能使用同一組件的多個版本，難以有效地進行漏洞管理和更新。同時，某些開源組件因缺乏維護者而長時間未被修補，增加了被攻擊的風險。

（2）漏洞發(fā)現與修補滯后。在選擇 OSS 組件時，用戶往往更注重功能、性能和成本等因素，而對于軟件的安全性關注不夠。這會導致用戶選擇包含高危漏洞或已經停止維護的版本，忽略定期檢查和更新開源組件，使得已知漏洞得不到修補，增加了安全風險。

（3）安全事件爆發(fā)后應對不當。一些用戶在安全事件爆發(fā)后缺乏適當的應對機制。由于不具有應急預案、演練及響應的培訓，使得 OSS用戶無法及時通知下游用戶、修補漏洞，或者應對措施不夠完備。

3.2　安全資源投入不足

開源組件的漏洞全生命周期的管理不僅要求用戶對組件進行升級或替換，還涉及系統(tǒng)的重構和兼容性問題。因此，漏洞管理需要投入大量的經費和資源，但實際上，從軟件開發(fā)、測試到漏洞響應等階段投入的資源十分有限，存在的具體問題如下：

（1）開發(fā)階段缺乏開源安全設計。這通常意味著在軟件開發(fā)階段未充分考慮選用 OSS 引入的安全風險，極易使整個系統(tǒng)的安全性受到威脅。安全設計還包括威脅建模，有助于識別潛在的威脅和攻擊手段，從而在開發(fā)階段采取相應的安全對策。而缺少威脅建模意味著系統(tǒng)可能無法有效地預防或減輕已知和未知的安全威脅。

（2）測試和驗證不足。有限的經費可能使得測試和驗證環(huán)節(jié)的資源不足。缺乏足夠的測試資源可能導致漏洞無法識別，修復漏洞后無法充分驗證修復的有效性，增加了潛在問題的風險。

（3）缺乏專業(yè)安全響應團隊。缺乏專業(yè)安全響應團隊可能使得對安全事件的響應不夠及時，并且可能導致對漏洞的重要性和緊急性判斷不準確，影響修復的優(yōu)先級和速度。此外，開源項目漏洞修補往往需要多個開發(fā)者和貢獻者共同協(xié)作，專業(yè)人員的缺失將大幅提升協(xié)作難度，嚴重降低漏洞修補效率。

3.3　漏洞情報獲取存在信息差

在 OSS 生態(tài)中，國內外開源社區(qū)、OSS 開發(fā)者和用戶在獲取漏洞情報方面存在著信息差的問題。一些國家將漏洞情報視為戰(zhàn)略資源，不愿意與其他國家共享信息，甚至還將其作為戰(zhàn)略手段，刻意不與別國共享信息以制造信息差。因此，用戶可能難以在開源社區(qū)中獲取到有用的漏洞情報。同時，開源社區(qū)中處于核心位置的個人和組織控制、管理著開源社區(qū)的信息發(fā)布渠道和方式，導致其他個人、組織無法及時獲得有關漏洞的信息，漏洞未被及時發(fā)現和修補，從而增加了軟件安全風險。

究其深度原因，是由于我國企業(yè)在國際開源社區(qū)中的投入仍有不足。投入更多的技術人才和資金，能夠使得我國企業(yè)在國際開源社區(qū)中的競爭力、話語權提高，與國外企業(yè)同步獲取漏洞相關最新信息，避免企業(yè)在應對漏洞引發(fā)的安全事件時處于被動地位。同時，我國企業(yè)在國際開源社區(qū)中缺乏統(tǒng)一的聲音和行動，在漏洞情報獲取方面需要團結一致，提高影響力。

3.4　開源社區(qū)的漏洞管理挑戰(zhàn)

開源社區(qū)每天都會收到大量項目的海量漏洞更新，因此，國際開源社區(qū)已經逐步將盡可能多的安全工作自動化，在漏洞管理中取得較大進展，具體管理舉措如表 2 所示。然而，社區(qū)所面臨的信息噪音和自動化管理所引發(fā)的技術、更新與維護、社區(qū)參與度和法律隱私等挑戰(zhàn)日益顯著。

表 2　國際開源社區(qū)漏洞管理舉措

續(xù)表

（1）信息噪音問題。開源社區(qū)的準入門檻降低，使社區(qū)參與者激增的同時，也讓更多的噪音有了可乘之機，這導致源源不斷的無用消息充斥社區(qū)，用戶在海量信息中難以獲取準確的漏洞情報。這一問題的根本原因在于社區(qū)無序的信息流，包括但不限于開發(fā)者討論、用戶反饋、無關緊要的變更和無效的漏洞報告。

（2）管理自動化挑戰(zhàn)。雖然 GitHub 等平臺推動了漏洞管理的自動化，但這也給開源社區(qū)帶來了技術、更新和維護、社區(qū)參與度和法律隱私方面的挑戰(zhàn)。在技術方面，自動化漏洞管理需要先進的技術支持，如靜態(tài)代碼分析、動態(tài)分析等。這些技術需要大量的研發(fā)和測試，以確保其準確性和可靠性。在更新和維護方面，隨著 OSS 的發(fā)展，新的漏洞類型和攻擊方式也不斷出現。為了保持自動化系統(tǒng)的有效性，需要不斷更新和維護。另外，在自動化過程中，可能會涉及法律和隱私問題。例如，在靜態(tài)代碼分析中，可能會涉及代碼注釋和其他敏感信息。為了應對這些挑戰(zhàn)，開源社區(qū)需要不斷改進和完善其自動化系統(tǒng)，并加強與社區(qū)用戶的合作與溝通。

3.5　代碼托管平臺受攻擊風險增加

代碼托管平臺是基礎設施的重要組成部分，也是一些敏感資產和數據的保管者。越來越多的攻擊者為了追求源代碼，對平臺進行攻擊以試圖獲得源代碼的訪問權，如 GitHub 在 2014 年遭受大規(guī)模分布式拒絕服務攻擊，以及在 2020 年遭受源代碼存儲庫泄露。這些事件突顯了代碼托管平臺在全球范圍內成為攻擊目標的現實性。由此可知，開源代碼托管平臺的安全性對于全球開發(fā)者和開源社區(qū)至關重要。

對于平臺進行攻擊會使平臺托管的全部代碼都置于風險中，可能帶來以下問題：

（1）用戶或項目隱私被泄露。攻擊者可能獲取用戶或項目的敏感信息，包括源代碼、開發(fā)者憑證等，這可能導致代碼的泄露，攻擊者還可以利用開發(fā)者憑證進行社會工程學攻擊，進一步獲取更多敏感信息或進行其他惡意活動。

（2）阻礙項目的正常運行。攻擊者還可能修改或植入惡意代碼到項目中，會對項目的功能、性能或安全性產生嚴重影響，攻擊者還可能試圖通過拒絕服務攻擊使平臺服務不可用。這會導致開發(fā)者無法訪問其代碼庫，影響項目的開發(fā)和維護。

（3）造成信任危機。當平臺自身安全受到侵犯時，用戶和開發(fā)者對于該平臺的信任將受到嚴重損害。這可能導致用戶流失、項目遷移，以及對開源社區(qū)整體信心的削弱。即使后續(xù)恢復正常，開發(fā)者和組織對平臺的信任降低仍會持續(xù)，影響其在開發(fā)社區(qū)中的地位和聲譽。

4 我國開源軟件漏洞治理建議

4.1　營造安全氛圍

安全氛圍的建立不僅是對漏洞管理本身的一種有效策略，也是使 OSS 項目可持續(xù)發(fā)展的關鍵。通過推廣安全文化、加強安全意識、促進協(xié)作和透明度，可以更好地應對漏洞問題，確保 OSS 的安全性和穩(wěn)定性。

（1）倡導并推廣 OSS 安全文化，將安全性融入軟件全生命周期的各個階段。通過博客、社交媒體等渠道宣傳 OSS 安全的理念，使負責軟件開發(fā)工作的相關人員有更強的安全認識。

（2）加強安全意識，開展安全培訓與教育。通過在線培訓、研討會和工作坊等方式傳遞安全最佳實踐和漏洞管理的重要性，以培養(yǎng)安全意識。

（3）在各組織內設立完善的安全問題跟蹤機制，確保漏洞的報告、處理和解決能夠有序進行。該機制應能夠及時更新漏洞狀態(tài)，追蹤解決方案的進展，并及時通知相關開發(fā)者和社區(qū)成員。

4.2　推進開源項目高質量發(fā)展

當前開源代碼量爆炸式增長，開源社區(qū)的漏洞修補速度難以追趕漏洞數量的增加，因此國際代碼托管平臺已將漏洞修補權限下放至項目運維組織，開源安全逐漸進入“誰負責運維項目，誰掌握漏洞信息”的時代。因此，宜推動我國開源項目的發(fā)展以保安全，激勵我國有基礎、有優(yōu)勢的企業(yè)開發(fā)高質量開源項目，圍繞項目不斷壯大開源生態(tài)，以點帶面，帶動國內先進項目的涌現，掌握更多一手漏洞信息。同時，深化國際合作，彌補國內已有平臺的不足，探索國際化發(fā)展路徑，加速形成面向全球的開源平臺，吸引國內外優(yōu)質企業(yè)及用戶入駐，增強社區(qū)活躍度，在學習和發(fā)展中不斷提高影響力，脫離對國外成熟開源平臺的依賴。

4.3　建立開源公共服務平臺

鑒于企業(yè)在 OSS 安全中存在的安全意識模糊、漏洞信息掌握不及時和技術能力不足等問題，由各地區(qū)、各行業(yè)匯聚開源安全治理經驗，建設公共服務平臺，協(xié)助企業(yè)進行全面的開源資產識別和風險評估，建立開源技術安全管理機制，降低安全成本。該平臺應提供先進的安全檢測工具以發(fā)現源代碼缺陷引發(fā)的安全漏洞，并提供修補建議等。此外，還可以構建完備的知識庫，為軟件全生命周期安全提供全流程的安全知識庫，并設置開源代碼安全評估機制，對流行開源代碼進行檢測，提供安全檢測報告并根據風險將其納入黑白灰名單管理，為用戶選用提供參考。平臺概念如圖 1 所示。

圖 1　開源公共服務平臺概念

4.4　開展關鍵信息基礎設施安全治理

建議關基運營者面向關鍵信息基礎設施開展 OSS 專項治理：一是提高 OSS 資產透明度，充分利用軟件成分分析等新工具，建立關鍵信息基礎設施 OSS 資產清單，并厘清開源組件之間的依賴關系，以掌握 OSS 使用情況；二是提高安全風險可見性，組織開展開源代碼漏洞系統(tǒng)性識別和軟件產品供應鏈安全檢測工作，分類分級梳理風險點；三是建立應急處置機制，制定完備的風險應急處置預案，完善 OSS 的漏洞跟蹤和響應等機制，以快速精準采取措施。通過以上專項治理，實現 OSS 安全風險可知、可控和可防。

4.5　增強對開源漏洞數據的安全保護

在進行 OSS 漏洞管理的同時，對 OSS 資產及漏洞數據的安全性保護需同步開展。在當前數據分類分級管理的背景下，開源資產清單和漏洞數據是企業(yè)識別和維護 OSS 資產的關鍵工具，應納入分級分類管理體系。同時，還需要從存儲、安全訪問與傳輸、日常維護 3 個方面采取措施。在存儲方面，一是對數據進行加密存儲，以防止未經授權的訪問和數據泄露；二是采用先進的加密算法，確保數據在存儲介質上的安全性。在安全訪問與傳輸方面，一是對訪問權限實施嚴格的控制策略，確保只有授權人員可以查看和修改漏洞數據；二是確保漏送數據的機密性和完整性，包括使用安全的傳輸協(xié)議對數據進行加密傳輸，防止中間人攻擊和數據竊取。在日常維護方面，一是需要定期審計，及時發(fā)現潛在的安全問題，并采取相應的糾正措施；二是定期備份，防止數據丟失或損壞。

4.6　推廣先進技術應用

綜合應用先進技術提高漏洞發(fā)現、事件響應效能：一是建議使用靜態(tài)和動態(tài)代碼分析工具，對源代碼進行全面審查，及時發(fā)現潛在的漏洞，提前預防安全事件的發(fā)生；二是使用軟件成分分析工具對軟件進行開源成分分析，生成準確、完整的 SBOM，追蹤和記錄軟件中所有開源組件，了解每個組件的版本、來源、許可證和安全性；三是搭建漏洞溯源與處置平臺，利用 SBOM、軟件成分分析工具，聯(lián)動威脅情報預警，在獲取漏洞情報時進行快速的漏洞定位與影響分析。

應用上述先進技術，有助于組織更全面地對軟件供應鏈風險進行管理。開源成分分析提供了開源組件的詳細信息，自動化的漏洞溯源和處置則提供了對已知漏洞風險的定期檢測評估，共同促進了組織更有效地管理其軟件資產，及時響應安全威脅。

5 結　語

OSS 漏洞管理對我國 OSS 的發(fā)展與安全具有極其重要的意義，本文深入探討了 OSS 漏洞管理面臨的風險挑戰(zhàn)，并提出了一系列應對措施，旨在加強對漏洞的監(jiān)測、預防和修復。在未來，我們將繼續(xù)關注 OSS 漏洞管理的進展，努力為OSS 的健康有序發(fā)展提供堅實的安全基石。

引用格式：趙相楠 , 楊文鈺 , 李昊燕 , 等 . 開源軟件漏洞治理的挑戰(zhàn)與對策建議 [J]. 信息安全與通信保密 ,2024(5):80-90.
作者簡介 >>>
趙相楠，男，碩士，工程師，主要研究方向為網絡安全防護體系及攻防技術、軟件供應鏈安全等；
楊文鈺，女，碩士，工程師，主要研究方向為開源軟件安全、軟件供應鏈安全；
李昊燕，女，博士，工程師，主要研究方向為開源軟件漏洞管理、供應鏈安全管理；
何　佩， 女， 學 士， 工 程 師，主要研究方向為信息安全、開源軟件安全；
阿合買提·雨三，男，學士，工程師，主要研究方向為軟件供應鏈安全、網絡安全、Web 安全、內網安全。
選自《信息安全與通信保密》2024年第5期（為便于排版，已省去原文參考文獻）
重要聲明：本文來自信息安全與通信保密雜志社，經授權轉載，版權歸原作者所有，不代表銳成觀點，轉載的目的在于傳遞更多知識和信息。