近幾年來(lái)，網(wǎng)絡(luò)安全一直是重要的議題，而開(kāi)源安全作為網(wǎng)絡(luò)安全中重要的一部分，了解開(kāi)源安全趨勢(shì)和預(yù)測(cè)很有必要。隨著2024年即將到來(lái)，近日，安全媒體gbhackers發(fā)布了《2024開(kāi)源安全趨勢(shì)和預(yù)測(cè)》，闡述了開(kāi)源安全的重要性，也對(duì)2024開(kāi)源安全趨勢(shì)和預(yù)測(cè)做出了詳細(xì)介紹，以下是主要內(nèi)容：

為什么開(kāi)源安全很重要？

1、開(kāi)源項(xiàng)目的激增

開(kāi)源軟件現(xiàn)在無(wú)處不在，是從網(wǎng)絡(luò)服務(wù)器和操作系統(tǒng)到移動(dòng)應(yīng)用程序和云服務(wù)的基礎(chǔ)。根據(jù) 2020 年開(kāi)源安全與風(fēng)險(xiǎn)分析（OSSRA）報(bào)告，2019 年審計(jì)的代碼庫(kù)中有 99% 包含開(kāi)源組件。考慮到使用開(kāi)源軟件的諸多優(yōu)勢(shì)，如節(jié)約成本、靈活性和加速創(chuàng)新等，出現(xiàn)這種情況并不奇怪。

然而，開(kāi)源軟件的廣泛使用也意味著該軟件中的任何漏洞都可能影響到大量系統(tǒng)和應(yīng)用程序。這種普遍性使得確保開(kāi)放源代碼安全的任務(wù)變得更加重要和具有挑戰(zhàn)性。這不僅關(guān)系到保護(hù)單個(gè)軟件，還關(guān)系到保護(hù)由應(yīng)用程序和服務(wù)組成的整個(gè)互聯(lián)生態(tài)系統(tǒng)。

2、企業(yè)和消費(fèi)者應(yīng)用程序依賴于開(kāi)源代碼

庫(kù)是可重復(fù)使用的代碼片段，開(kāi)發(fā)人員可將其納入自己的應(yīng)用程序，從而避免重復(fù)勞動(dòng)。這些庫(kù)中有許多是開(kāi)源的，在軟件開(kāi)發(fā)中被廣泛使用。一些應(yīng)用最廣泛的企業(yè)和消費(fèi)者應(yīng)用程序都大量使用了開(kāi)放源代碼庫(kù)。

然而這種依賴是有風(fēng)險(xiǎn)的。如果開(kāi)放源代碼庫(kù)中存在漏洞，使用該庫(kù)的任何應(yīng)用程序都可能繼承該漏洞。這就意味著，一個(gè)漏洞可能會(huì)影響多個(gè)不同的應(yīng)用程序，包括那些對(duì)業(yè)務(wù)運(yùn)營(yíng)至關(guān)重要或處理敏感用戶數(shù)據(jù)的應(yīng)用程序。因此，確保開(kāi)源庫(kù)的安全性是開(kāi)源安全的一個(gè)重要方面。

3、單一漏洞的潛在連鎖反應(yīng)

開(kāi)源生態(tài)系統(tǒng)的相互關(guān)聯(lián)性意味著，一個(gè)漏洞就可能產(chǎn)生連鎖反應(yīng)，從一個(gè)應(yīng)用程序擴(kuò)散到另一個(gè)應(yīng)用程序，并可能影響眾多系統(tǒng)和用戶。這種風(fēng)險(xiǎn)并不只是理論上的，流行的開(kāi)源組件中的漏洞導(dǎo)致重大安全漏洞的例子不勝枚舉。例如：

• 2014年發(fā)現(xiàn)的OpenSSL加密庫(kù)中的嚴(yán)重漏洞Heartbleed漏洞估計(jì)影響了三分之二的網(wǎng)站。
• 2017 年發(fā)生的 Equifax 數(shù)據(jù)泄露事件也追溯到 Apache Struts 網(wǎng)絡(luò)應(yīng)用程序框架中的一個(gè)漏洞，該事件暴露了 1.47 億人的個(gè)人信息。

這些事件突顯了開(kāi)放源代碼組件中的單個(gè)漏洞可能造成廣泛破壞的可能性。

2024年開(kāi)源安全趨勢(shì)

1、加強(qiáng)審查和分析

2024年，對(duì)開(kāi)源軟件的審查和分析有望增加。隨著開(kāi)源組件在商業(yè)和企業(yè)軟件中的使用越來(lái)越多，對(duì)全面和持續(xù)安全分析的需求也隨之增加。更嚴(yán)格的審查可能會(huì)以更強(qiáng)大的靜態(tài)和動(dòng)態(tài)分析工具的形式出現(xiàn)，也會(huì)更多地使用自動(dòng)安全測(cè)試。

此外，開(kāi)源社區(qū)可能會(huì)繼續(xù)采用代碼審查和漏洞懸賞等做法，鼓勵(lì)主動(dòng)識(shí)別和解決安全漏洞。

2、左移方法

軟件安全的左移方法正越來(lái)越流行，并有可能在 2024 年繼續(xù)流行。這種方法主張將安全實(shí)踐整合到軟件開(kāi)發(fā)生命周期的最初階段，而不是將安全視為事后考慮或流程的最后一步。

左移方法特別適合開(kāi)源生態(tài)系統(tǒng)，在這個(gè)生態(tài)系統(tǒng)中，快速迭代和分布式開(kāi)發(fā)是規(guī)范。通過(guò)采用這種方法，開(kāi)源項(xiàng)目可以在開(kāi)發(fā)過(guò)程中盡早發(fā)現(xiàn)并解決安全漏洞，從而降低嚴(yán)重安全漏洞的風(fēng)險(xiǎn)。

左移方法還鼓勵(lì)在開(kāi)發(fā)人員中形成安全意識(shí)文化。通過(guò)將安全作為開(kāi)發(fā)過(guò)程的核心部分，而不是邊緣問(wèn)題，開(kāi)發(fā)人員更有可能批判性地思考安全影響，并做出更安全的設(shè)計(jì)和實(shí)施選擇。

3、專職開(kāi)源安全團(tuán)隊(duì)

我們預(yù)測(cè)，2024年，開(kāi)源安全團(tuán)隊(duì)數(shù)量將大幅增長(zhǎng)。隨著開(kāi)源安全的重要性和復(fù)雜性不斷提高，越來(lái)越多的企業(yè)組織可能會(huì)投資于專門負(fù)責(zé)開(kāi)源資產(chǎn)安全的專職團(tuán)隊(duì)。

這些團(tuán)隊(duì)可能由安全專家、軟件開(kāi)發(fā)人員和其他專業(yè)人員組成，他們對(duì)開(kāi)源安全的技術(shù)和戰(zhàn)略方面都有深刻的理解。他們將與組織內(nèi)的其他團(tuán)隊(duì)以及更廣泛的開(kāi)源社區(qū)密切合作，確保開(kāi)源組件的安全。

通過(guò)投資于專職開(kāi)源安全團(tuán)隊(duì)，企業(yè)組織可以確保他們擁有有效管理開(kāi)源安全風(fēng)險(xiǎn)所需的專業(yè)知識(shí)和資源。隨著開(kāi)源軟件繼續(xù)在商業(yè)運(yùn)營(yíng)和數(shù)字化轉(zhuǎn)型中發(fā)揮關(guān)鍵作用，這一點(diǎn)將變得越來(lái)越重要。

4、供應(yīng)鏈安全透明化

2024 年，開(kāi)源生態(tài)系統(tǒng)對(duì)透明供應(yīng)鏈安全的需求可能會(huì)上升。在供應(yīng)鏈攻擊中，攻擊者通過(guò)瞄準(zhǔn)軟件項(xiàng)目的供應(yīng)商或依賴關(guān)系來(lái)破壞項(xiàng)目，這種攻擊正日益引起人們的關(guān)注。為此，人們對(duì)開(kāi)源供應(yīng)鏈的透明性和安全性的要求也越來(lái)越高。

供應(yīng)鏈的透明性可以讓企業(yè)了解其軟件的來(lái)源、貢獻(xiàn)者以及開(kāi)發(fā)方式。這些信息可以幫助企業(yè)識(shí)別潛在風(fēng)險(xiǎn)，并采取適當(dāng)措施降低風(fēng)險(xiǎn)。實(shí)現(xiàn)這種透明性的主要?jiǎng)?chuàng)新之一就是軟件物料清單（SBOM）。

5、加強(qiáng)協(xié)作和社區(qū)驅(qū)動(dòng)的安全舉措

2024年，開(kāi)源生態(tài)系統(tǒng)內(nèi)的協(xié)作和社區(qū)驅(qū)動(dòng)的安全舉措可能會(huì)激增。開(kāi)源社區(qū)一直以協(xié)作為特征，但我們預(yù)計(jì)在安全領(lǐng)域，這種協(xié)作會(huì)有新的發(fā)展。

在這種情況下，協(xié)作不僅僅意味著在項(xiàng)目上合作，它還意味著共享信息、資源和最佳實(shí)踐，以提高開(kāi)源生態(tài)系統(tǒng)的整體安全性。這可能涉及共享漏洞數(shù)據(jù)庫(kù)、協(xié)作威脅建模演習(xí)和聯(lián)合安全培訓(xùn)計(jì)劃等舉措。

與此同時(shí)，社區(qū)驅(qū)動(dòng)的安全舉措是指利用開(kāi)源社區(qū)的集體知識(shí)和資源來(lái)應(yīng)對(duì)安全挑戰(zhàn)，其形式可以是社區(qū)主導(dǎo)的審計(jì)、開(kāi)源安全工具開(kāi)發(fā)和社區(qū)范圍的安全活動(dòng)形式。

2024年開(kāi)源安全預(yù)測(cè)

1、安全第一的開(kāi)源項(xiàng)目崛起

隨著網(wǎng)絡(luò)威脅環(huán)境的演變，應(yīng)對(duì)措施也在不斷變化。我們預(yù)測(cè) 2024 年的主要趨勢(shì)之一是“安全第一”開(kāi)源項(xiàng)目的興起。這些項(xiàng)目從一開(kāi)始就將安全放在首位，將安全融入開(kāi)發(fā)流程的每個(gè)階段。

這種方法與傳統(tǒng)的開(kāi)發(fā)流程形成鮮明對(duì)比，在傳統(tǒng)流程中，安全往往是事后才考慮的問(wèn)題。通過(guò)將安全作為開(kāi)發(fā)流程的核心部分，這些項(xiàng)目旨在大幅降低漏洞風(fēng)險(xiǎn)。

安全第一的項(xiàng)目還能在開(kāi)源社區(qū)內(nèi)培養(yǎng)安全文化。它們促進(jìn)最佳實(shí)踐，鼓勵(lì)問(wèn)責(zé)制，有助于提高所有開(kāi)源項(xiàng)目的安全標(biāo)準(zhǔn)。隨著這一趨勢(shì)的持續(xù)，我們可以預(yù)見(jiàn)開(kāi)源軟件的整體安全狀況將得到顯著改善。

2、整合抗量子算法

量子計(jì)算是另一個(gè)將對(duì)開(kāi)源安全產(chǎn)生重大影響的領(lǐng)域。隨著 2024 年的臨近，預(yù)計(jì)將抗量子算法整合到開(kāi)源項(xiàng)目中的情況將越來(lái)越普遍。

量子計(jì)算機(jī)完全投入使用后，將能輕松破解目前使用的加密算法，這將對(duì)包括開(kāi)源軟件在內(nèi)的所有數(shù)字系統(tǒng)的安全性構(gòu)成重大威脅。

為了應(yīng)對(duì)這種威脅，開(kāi)源項(xiàng)目開(kāi)始集成抗量子算法。這些算法旨在抵御來(lái)自量子計(jì)算機(jī)的攻擊，確保軟件即使在后量子世界也能保持安全。將這些算法整合到開(kāi)源項(xiàng)目中，是為未來(lái)網(wǎng)絡(luò)安全做好準(zhǔn)備的重要一步。

3、加強(qiáng)監(jiān)管監(jiān)督

隨著開(kāi)源軟件繼續(xù)在數(shù)字基礎(chǔ)設(shè)施中發(fā)揮關(guān)鍵作用，監(jiān)管監(jiān)督的必要性變得愈加明顯。我們預(yù)測(cè)，到2024年，開(kāi)源安全領(lǐng)域的監(jiān)管監(jiān)督將得到加強(qiáng)。

世界各地的監(jiān)管機(jī)構(gòu)都認(rèn)識(shí)到確保開(kāi)源軟件安全的重要性。他們正在制定指導(dǎo)方針和標(biāo)準(zhǔn)，以確保開(kāi)源項(xiàng)目的安全性。這些法規(guī)可能會(huì)涉及漏洞管理、安全編碼實(shí)踐和安全軟件開(kāi)發(fā)生命周期（SDLC）方法的使用等領(lǐng)域。

雖然加強(qiáng)監(jiān)管可能會(huì)被一些人視為一種負(fù)擔(dān)，但這是提高開(kāi)源軟件安全性的重要一步。它促進(jìn)了問(wèn)責(zé)制，鼓勵(lì)采用最佳實(shí)踐，并有助于確保所有項(xiàng)目達(dá)到一定的安全水平。

總結(jié)

總之，隨著2024年的臨近，開(kāi)源安全領(lǐng)域?qū)l(fā)生重大變化。從成為網(wǎng)絡(luò)犯罪分子的首要目標(biāo)，到安全第一項(xiàng)目的興起、抗量子算法的集成以及監(jiān)管監(jiān)督的加強(qiáng)，這些趨勢(shì)既帶來(lái)了挑戰(zhàn)，也帶來(lái)了機(jī)遇。通過(guò)了解這些趨勢(shì)，我們可以更好地為未來(lái)做好準(zhǔn)備，確保開(kāi)源軟件的持續(xù)成功和安全。

相關(guān)小知識(shí)：

什么是開(kāi)源安全？

開(kāi)源安全是指確保開(kāi)源軟件（OSS）不存在可被惡意行為者利用的漏洞。它包括審核開(kāi)源軟件的代碼、識(shí)別和修補(bǔ)漏洞，以及持續(xù)監(jiān)控新的潛在威脅。

開(kāi)源安全的基本形式是確保對(duì)軟件項(xiàng)目中使用的開(kāi)源軟件包進(jìn)行安全漏洞掃描。除此之外，開(kāi)源安全還包括開(kāi)發(fā)和維護(hù)這些項(xiàng)目的社區(qū)，以及這些項(xiàng)目所處的生態(tài)系統(tǒng)。這包括從保護(hù)所使用的開(kāi)發(fā)工具和平臺(tái)，到管理對(duì)代碼庫(kù)的貢獻(xiàn)和更改所采用的做法，再到向最終用戶分發(fā)軟件所使用的方法等一切。

在安全性方面，開(kāi)源軟件與專有軟件有何不同？

專有軟件是閉門開(kāi)發(fā)的，其源代碼是保密的。

開(kāi)放源碼軟件則不同，它是合作開(kāi)發(fā)的，其源代碼是公開(kāi)的，任何人都可以查看、使用、修改和分發(fā)。這種開(kāi)放性允許廣大開(kāi)發(fā)人員為軟件的開(kāi)發(fā)做出貢獻(xiàn)，并幫助識(shí)別和修復(fù)漏洞。然而，它也將軟件的結(jié)構(gòu)暴露給潛在的攻擊者，因此有效的開(kāi)源安全至關(guān)重要。

資料來(lái)源：gbhackers