log4j 2漏洞爆发，开源软件安全治理正当时！

近年来，随着云计算、AI、IOT等技术的不断发展，IT等信息技术领域也有了新的突破，可以更好的赋能关键信息基础设施建设。然而，安全作为主旋律，一直是备受关注的焦点。一方面，传统安全防护措施的缺失，对于新型高级威胁缺少防护壁垒；另一方面，开源趋势下，事后防御的手段已不满足安全需求，“安全左移”下提出了更高的安全需求。

尤其是，近日影响力巨大的log4j 2.x的漏洞事件，引起了轩然大波。包括之前的solarwinds事件、Apace Strust2等漏洞事件都为我们敲响了安全警钟。如何做好此类事件的威胁防护、开源安全的风险治理是需要大家积极探讨的新命题。

12月30日，由悬镜安全、OpenSCA联合主办的全球首款企业级OpenSCA技术开源发布会在北京举行，会议现场，针对“开源软件”、“供应链安全”等热点带来不同角度的学术探讨与实践分享，共同探讨开源产业生态下的安全新态势。

用开源的方式做开源风险治理

大会现场，悬镜安全创始人兼CEO子芽围绕“开源”、“风险治理”、“OpenSCA”等关键词分享了如何用开源的方式做开源风险治理。

悬镜安全创始人兼CEO子芽分享

子芽表示，应用开源是大势所趋，但是避免不了Web通用漏洞、业务逻辑漏洞、开源成分的缺陷及后门等漏洞问题，而用开源的方式做开源风险治理，可以让开源用多样性拥抱不确定性，形成开源新范式。

此次，悬镜安全对外发布OpenSCA开源技术，是为了解决看不清、摸不透、跟不上、防不住的治理难题。OpenSCA作为悬镜安全旗下商业级SCA产品源鉴OSS开源威胁管控平台的开源版本，它继承了源鉴OSS的多源SCA开源应用安全缺陷检测核心能力。悬镜把OpenSCA技术开源，对于守护中国软件供应链安全有着重要的意义。

据了解，悬镜安全数十位来自北大的科研人员、行业专家智库，历时26280个小时潜心打磨，提出了“用开源的方式做开源风险治理”，用简单的配置即可完成对开源组件所使用的成分进行检测，深度挖掘组件中潜藏的各类安全漏洞及开源协议风险，进而助力企业进行开源风险的识别及治理。

开源软件下软件供应链安全如何治理

log4j 2漏洞是近期圈内和圈外讨论热度都较高的话题，Apache Log4j是一个基于Java的日志记录工具，基本70%以上的企业都有使用的开源代码。log4j 2漏洞的爆发给我们带来的警示是什么？开源的软件如何保证安全？log4j 2究竟是“黑天鹅”还是“灰犀牛”？

基于以上问题国家信息技术安全研究中心总师组专家杨韬认为：“这是一个大事，但并不是新鲜事。对于应对漏洞，产品和服务的提供者以及网络运营者，需要在未来很长的一段时间之内做好心理准备和0day漏洞共存。”

北京赛博英杰科技有限公司创始人兼董事长表示：“企业要敢于盘家底，要排查有多少系统用了该工具，所有配置设置都要了解清楚。”

随着软件产业的快速发展，软件供应链也越发复杂多元，复杂的软件供应链会引入一系列的安全问题，导致信息系统的整体安全防护难度越来越大。其中，开源软件的安全问题尤其值得关注。

东方通集团副总裁朱木林认为：“开源社区难以管理，开源代码的漏洞很多，因此要积极拥抱开源，如果厂商、监管以及国家三方合力形成一种机制，一起营运管理开源软件的安全生态。”

“log4j 2漏洞的爆发，站在战略投资的角度来说，让安全领域成为了资本所青睐的对象”，同时国家也会有更多的政策倾斜到这一领域。”百度工程效能部效率云技术总监及开源中国联席产品主席张伟军如是说。

悬镜安全CTO宁戈则认为开源的风险治理是比较严重的问题，因为开源组件的维护都是社区自发的，安全力量投入不足，另外开源社区的发展是无序进化的状态，对于安全治理也是比较难的。

“黑天鹅”一般指那些出乎意料发生的小概率风险事件；“灰犀牛”指那些经常被提示却没有得到充分重视的大概率风险事件。相对于开源软件来说，面对的“黑犀牛”的威胁是更多的，因此安全治理必须要考虑。

据不完全统计，全球97%的软件开发者和99%的企业使用开源软件，基础软件、工业软件、新兴平台软件大多基于开源，开源软件已经成为软件产业创新源泉和“标准件库”。与此同时，开源许可证的兼容性问题、开源项目的合规问题、开源安全漏洞问题和开源知识产权的侵权等问题也日趋凸显。

未来，悬镜安全将依托软件供应链安全技术，布局开源安全产业生态，以前瞻性产业视角视角构筑行业安全生产线，不断拓展人类认知实践的边界，在更大的范围帮助更多的企业实现开源风险治理，助力开源生态健康有序发展。