首页 >
论文范文 >
社会科学论文 >
科技论文 >
网络安全论文 >
软件供应链网络安全风险
摘要:当前,网络产品中大量应用了开源软件,开源已成为软件供应链中的重要一环,其安全性和可控性问题日渐突出.西方国家对开源组织及开源项目政策上的主导优势,对我国相应网络产品供应链安全产生了极大影响.从网络安全工作出发,结合软件开源代码成分分析结果,对开源软件供应链存在的安全风险进行了研究和分析,提出完善开源软件供应链安全管理的建议.
加入收藏
1、开源软件应用现状
随着开源软件在软件研发过程中的应用范围不断扩大,开源正进入生活的方方面面,包括我们日常使用的手机、平板等电子产品,以及大型计算机、服务器等组成的系统中都有开源软件的身影.开源软件的重要性主要体现在:一方面市场上包含开源组件的软件逐渐增多,据美国弗雷斯特研究公司(Forrester Research)统计,全球80%以上的应用软件使用了开源组件[1],在能源、通信、金融、互联网等行业内这一比例甚至高达95%;另一方面软件中开源代码的比例不断升高,2019年新思科技公司(Synopsys)通过对全球1 200个商业代码库的分析发现,在包含开源成分的软件中,开源代码占代码总量的平均比例由2018年的57%提高到了60%[2].从不同行业领域来看,移动互联网行业这一比例为74%,网络安全行业为70%,能源、金融、物联网等行业开源代码比例均在平均值60%以上.这些行业均是关系国计民生、公共利益的重点行业.
目前,国际上应用的开源代码大都掌握在知名开源组织手中.这些开源组织主要包括:
1)Apache基金会.
Apache基金会成立于1999年,注册地位于美国特拉华州.基金会主要由个人捐赠和企业赞助商资助形成,主要任务是为其管理的开源软件提供持续的技术支持.Apache基金会目前收录了包括HTTP Server,Hadoop,Tomcat等知名项目在内的350多个开源项目,这些开源项目推动了Web服务和大数据技术的快速发展.作为世界最大的开源组织,Apache基金会管理的代码达到了2亿多行.
2)Linux基金会.
Linux基金会成立于2000年,致力于促进Linux操作系统及其生态的发展.基金会为Linux提供了一个有利于协作和推广的开放代码平台,为解决软件开发商和用户面临的Linux生态系统问题提供了基础,促进并保护了Linux的发展.Linux基金会内部形成了用于应用程序开发的标准服务,推动了Linux在全球的标准化.目前,Linux项目的开源代码量已经超过2 500万行.
3)OpenStack基金会.
OpenStack基金会2012年在美国成立,其管理的最著名的开源项目为OpenStack云计算项目.OpenStack项目由美国国家航空航天局和云服务商Rackspace共同发起,旨在推动云计算服务在全球的发展,为私有云和公有云提供可扩展的弹性服务.OpenStack覆盖了云计算基础设施中的网络、虚拟化、操作系统、服务器等各个方面,目前已成为市场占有率最高的云计算解决方案.
开源组织管理的大量开源代码已广泛应用于日常使用的软件中,支撑了网络和信息系统的正常运行.信息系统中主流的操作系统、数据库、应用软件等产品均不同程度地嵌入了开源代码.通过对相应软件产品的安装包进行反编译及二进制代码检测,往往可以发现软件代码中的开源成分.我们通过对某款应用范围较广的办公软件进行二进制代码检测,溯源分析后发现其开源代码比例在22%以上,在开源代码库中匹配到了Zlib,TinyX-Path,cctz,libytnef,pugixml等29个开源组件,这些开源组件绝大部分出自美国的开源项目,涉及GPL,Apache License,BSD等开源许可证,相关代码在GitHub,SourceForge等代码托管平台上进行维护.
2、开源软件供应链的特点
2.1开源代码管理具有开放性
目前,开源软件项目主要有2种管理模式:一种为基金会主导模式,如Apache软件基金会Hadoop项目、Linux基金会的Linux项目等;另外一种为企业主导模式,如谷歌的Android项目、微软的Visual Studio Code项目等.基金会或企业通过将软件源代码在相应社区及代码托管平台公开,供用户使用、修改和交流,以社会化协作的方式提高软件生产效率,开发者只要遵循社区的规则都可以对代码进行访问和修改.开放性促进了开源的快速发展,但也带来了代码管理的一些问题,如代码维护管理依赖开源社区、代码安全性缺乏审核、很少有特定的人员专门负责修补安全漏洞等.
2.2开源许可证体系混乱
值得注意的是,“开源”并不代表“免费”,更不是“随便用”.开源项目在应用过程中通常需要绑定相关的许可证,开源许可证规定了开源代码的知识产权所有人对于代码使用者的限制条件,这些条件包括是否允许用于商业用途、是否允许用于某些特定领域、是否允许专利授权等,用户选择使用其开源代码相当于默认接受相关的限制条件.目前,国际上并未形成统一的开源许可证体系,已知存在的许可证就包括Apache License,GPL,MIT,BSD等几十种,其规定的限制条件各不相同.在企业软件开发过程中,使用多个绑定不同许可证的开源组件,会导致许可证规则冲突,面临法律风险[3].如中国某公司曾因未公开Android系统相关代码而被开源社区认定违反其许可证规则,原因是Android系统绑定了Apache2.0许可证,该许可证不要求公开源代码,但该公司在Android中加入了绑定GPLv2许可证的Linux内核代码,GPLv2许可证则要求修改后的代码必须公开,而该公司并未公开.
2.3大部分开源软件受美国法律管辖
20世纪90年代开源概念在美国兴起,在其政策主导下产生了Apache基金会、Google等开源组织和企业,以及Hadoop,Android等著名的开源项目.美国注册的开源组织在运营政策上基本都会遵守美国相关的法律法规.全球最大的开源基金会Apache软件基金会在其运营文件中就明确表示,其产品均是由在美国的服务器向外分发,须遵守美国《出口管制条例》(Export Administration Regulation,EAR).随着我国开源软件的快速发展,国内虽然产生了一批开源组织和自建的代码托管平台,但仍然难以撼动美国对开源软件的绝对主导地位,目前绝大部分开源代码事实上仍然被美国控制.
3、开源软件供应链的安全风险
网络产品供应链的主要风险除了产品自身的安全性外,还包括产品使用后带来的网络和信息系统被非法控制、遭受干扰和破坏、数据泄露的风险,以及产品供应渠道可靠性及是否可能因政治、外交、贸易等原因中断供应的风险[4].我们通过对某办公软件的开源成分进行分析,同时结合其开源代码安全、开源项目、托管平台、法律政策等相关数据的收集,初步判断开源软件在供应链安全方面存在3大风险.
3.1开源软件漏洞难以管理,产品安全性面临风险
开源软件因其代码的公开性,在一定程度上降低了开发成本,提高了开发效率,但同时也带来了安全风险.开源软件的安全漏洞管理与其他商业软件具有较大区别.商业软件在发现漏洞后,通常会把修复补丁自动推送给用户,开源软件则是被动的“拉取模式”,相关补丁需要人工安装.若开发人员不对使用的开源代码定期检查,则相应的安全漏洞会一直存在.随着新代码的加入,漏洞在代码库中将越积越多,漏洞平均年龄逐渐增加,修复漏洞将变得耗时耗力.在此次办公软件的开源成分分析中,通过匹配开源代码漏洞库,发现了libytnef等开源组件的堆溢出漏洞[5]等14个中高危漏洞,攻击者可利用这些漏洞构建恶意文件,入侵并瘫痪网络系统.而开源代码的开放性特点,使得代码的漏洞人人可见,这当中肯定也包括网络攻击者.在一些基础开源代码应用范围十分广泛的情况下,开源的特点导致越来越多的开源代码库正在成为网络犯罪的目标,攻击者往往倾向于利用基础开源代码发动1次行动造成很多攻击,而不是去攻击每一个应用.开发者甚至可以故意创建恶意代码,让企业在不知情的情况下将恶意代码纳入其代码库中,形成隐藏的风险.一旦不法分子利用开源软件的漏洞对电信、能源、交通等行业的重要信息系统发动攻击,可能造成大范围的社会基础设施出现服务中断,大量的个人信息和重要数据面临泄露的风险.
3.2开源软件知识产权面临法律风险
企业使用开源组件相当于默认接受开源许可证的限制条件,比如办公软件中使用的libytnef,js等开源组件使用了GPLv2许可证,该许可证限制了其产品应用于特定行业领域.如果不遵守许可证规则将引起知识产权等问题上的法律纠纷,增加软件遭禁用的风险,产品提供者将承担高昂的软件替代成本.而且,注册于美国的开源组织产生的法律纠纷受美国的司法管辖.如js开源项目所属的Mozilla基金会在服务协议[6]中明确其受美国加州法律管辖,相应的索赔和纠纷应在加州圣克拉拉县法院提起诉讼.美国的属地管辖不仅增加了相关法律诉讼的成本,也令使用这些开源代码的企业和运营者在知识产权问题上面临诸多不确定性,在可能涉及域外法律管辖时,相关的法律风险大大升高.
3.3开源代码在美国出口管制下存在断供风险
开源代码托管平台GitHub在官方声明[7]中明确表示,相关产品遵守美国EAR,包括禁止受制裁的国家和团体访问其服务,禁止其企业服务出售或出口至伊朗、朝鲜、叙利亚等受美国制裁的国家.此次分析的办公软件所使用的libytnef,pugixml,cctz等开源组件代码就托管于GitHub.据公开报道,2019年就曾发生伊朗和俄罗斯克里米亚地区的GitHub用户个人账户遭到封禁无法取回代码的事件,这表明GitHub已在美国出口管制要求下展开行动.
美国EAR将开源代码的出口划分为2类[8]:一类是“公开可获得”(publicly available)的不带加密功能的软件源代码,不受出口管制;另一类是公开可获得的带加密功能的软件源代码(出口控制等级编号ECCN为5D002),虽不会被限制出口,但需符合备案要求.目前,知名的Tomcat,Hadoop等开源项目都被划定为ECCN 5D002,相当于备案后可不受管制.总体来讲,开源软件在正常情况下属于“公开可获得”的软件,即使开源组织在政策上声明遵从美国EAR要求,目前尚不会被限制出口.但如果美国调整EAR规则,将含有开源成分的重点软件加入到管制名单,或修改目前“备案后不受管制”的条款,大量核心的开源项目将面临出口管制的限制,我国软件开发者获取相关开源代码将非常困难,相关产品的软件供应链将面临极大的断供风险.2020年1月6日,美国商务部就通过更新EAR将“用于自动分析地理空间图像的软件”(出口控制等级编号ECCN为0Y521)列入管制范围,智能化传感器、无人机、卫星等目标识别软件都在限制范围之内,美国企业必须得到许可后才能出口这些软件到中国等目的地.在2019年美国政府将华为公司列入出口管制“实体清单”后,谷歌即宣布停止向华为提供基于Android系统的更新服务及应用.虽然谷歌对华为的“断供”并不涉及安卓开源项目AOSP(Android Open Source Project),但是美国相关开源组织和平台的“集体行动”,不得不让我们开始对开源软件供应链面临的断供风险予以重视.2020年3月,国际开源芯片技术组织RISC-V基金会就宣布将总部从美国特拉华州迁往瑞士[9].其负责人表示,虽然目前基金会的全球合作尚未受到影响,但基于对美国贸易限制的担忧及成员可能面临的地缘政治破坏,仍然决定将基金会的注册地迁出美国.在当前中美贸易摩擦尚未结束、美对我相关企业的制裁并未解除的大背景下,美国对其出口管制规定的不断调整,将导致开源软件因政治、外交、贸易等因素供应中断的风险增大.
4、对策建议
随着开源软件的广泛应用,开源安全风险日益凸显.为有效控制网络安全风险,保障重要信息系统承载的业务安全:一是网络安全检测认证机构需加强开源软件安全评价技术及方法研究,利用软件代码分析等工具准确识别网络产品中的开源成分,分析开源代码安全性,为安全评估提供重要的手段支撑.二是企业应提高开源软件供应链安全意识,充分评估开源软件许可证冲突及软件供应中断的法律风险,加大自主创新投入[10],提高代码自主水平,推动构建国产开源生态,完善安全、可靠、多源的软件供应链安全保障体系.
参考文献:
[1]刘权,王超.加强软件供应链安全保障的对策建议[J].中国信息安全,2018(11):64-66
[2]刘彬彬.开源许可协议的法律问题研究[D].兰州:兰州大学,2020
[3]马宁.我国网络安全审查法律制度的演进[J].保密工作,2020(8):52-54
[4]曾永瑞,李喆,.Linux二进制漏洞利用——突破系统防御的关键技术[J].信息安全研究,2018,4(9):806-818
文章来源:齐越,刘金芳,李宁.开源软件供应链安全风险分析[J].信息安全研究,2021,7(09):790-794.
分享:
综合布线是一种模块化、灵活性极高的建筑物内或建筑群之间的信息传输通道,在高校主要作用于网络基础设施、网络安全设备及多种教育信息系统的通联。通过它可以使话音设备、数据设备、交换设备及各种控制设备与信息管理系统连接起来,同时也使这些设备与外部通信网络相连。
2024-12-05
随着5G技术的广泛应用,智慧医院作为医疗行业的重要创新方向,将极大地推动医疗服务的数字化、智能化和高效化。然而,与此同时,5G技术也给智慧医院的网络安全带来了新的挑战。5G背景下,智慧医院的医疗数据传输和存储变得更加便捷和高效,但同时也增加了网络攻击的风险。
2024-06-06
随着各类信息化系统在医疗行业的广泛应用,数据已成为医疗卫生机构的重要资产。医疗行业关系国计民生,其中医疗数据包含健康状况、病例、处方等大量敏感个人信息,一旦遭到恶意人员篡改、破坏或泄露,会对医疗卫生机构的业务运行、病人隐私安全等构成严重威胁,破坏社会秩序及公共利益。
2024-06-06
5G技术以其高速、低延迟、高可靠性等特点为医疗行业带来了全新的发展空间。在5G时代,医疗信息化将不再局限于简单的数据传输和信息管理,而是能够更加深入地支持医疗服务的创新和优化。当然,5G时代也面临着一系列的挑战,比如基础设施建设、技术方面、人才不足等问题。
2024-06-06
随着信息技术在医疗领域的广泛应用,医院信息系统(HIS)已成为现代医疗机构不可或缺的一部分。这些系统不仅提高了医疗服务的效率,还在病历管理、药物配送和患者监护等方面发挥了重要作用。然而,随着数据量和复杂性的增加,异常检测在确保医院信息系统的可靠性和安全性方面变得越来越重要。
2024-06-06
虽然现有的信息安全评估可以协助信息安全决策,但大多数技术在评估中需要大量的定量分析和数值计算,一旦结果出现偏离,不仅会导致评估风险结果与实际风险结果的偏差,还会影响风险量化的实效。为了实现对现有研究的深化,我们将尝试引入堆栈式自编程深度神经网络作为本研究的支撑,并设计一种基于SAE网络的信息安全评估方法的算法设计。
2024-06-06
信息技术的急速演进已经深刻改变了医疗行业的运作方式,将其引入数字化和网络化时代。然而,随着医院网络的广泛应用和医疗数据的数字存储,网络信息安全问题愈加凸显[1],直接涉及患者隐私保护和医院正常运营。解决医院网络信息安全问题不仅关系到医院声誉,还关系到患者个人信息的安全,甚至可能对患者的生命健康构成潜在威胁。
2024-06-06
近年来,国家公共卫生事业不断发展,疾控机构各项业务信息化程度也不断提高,疾控中心网站也在越来越发挥其重要作用。但各地疾控中心网站规模、内容、质量参差不齐,且没有统一标准。特别是新冠疫情发生以来,公众对公共卫生的关注空前高涨,网站点击量、浏览量、转发量呈现爆发式增长,咨询留言每日激增。这些都对疾控中心网站建设和运营维护提出了更高的要求。
2024-06-06
目前大多数中小型医院都已开展了电子病历、预约诊疗、智能导诊、电子支付、远程诊疗等网络技术的普惠应用,基本已建立起以本区域为主的健康医疗服务信息库,小到个人的敏感信息,真实的身份信息,大到群体性的健康数据的统计,甚至基因的信息,这些对实现医疗资源共享,为患者就诊、看病、住院等服务给予了极大的方便,提升了就诊诊疗的工作效率,提高了医院服务水平和核心竞争力。
2024-06-06
企业的经营与发展,离不开信息化建设,信息化建设有助于提升企业生产质量,同时,网络信息安全问题一直是制约信息化建设的重要因素。为改变上述局面,企业需要探索解决措施,为可持续发展奠定基础。
2024-03-14我要评论
期刊名称:网络安全技术与应用
期刊人气:2258
主管单位:中华人民共和国教育部
主办单位:北京大学出版社
出版地方:北京
专业分类:科技
国际刊号:1009-6833
国内刊号:11-4522/TP
邮发代号:2-741
创刊时间:2001年
发行周期:月刊
期刊开本:大16开
见刊时间:1-3个月
影响因子:1.646
影响因子:0.693
影响因子:0.706
影响因子:1.052
影响因子:0.194
科普杂志阅读、期刊信息查询、论文下载、文献查询、原创文章检测等多项服务。
服务热线
您的论文已提交,我们会尽快联系您,请耐心等待!
你的密码已发送到您的邮箱,请查看!
2021-08-24
137
上传者:管理员
