实现开源软件安全，开发人员需要考量的三大关键因素

作者：JFrog大中华区总经理董任远

网络威胁变幻莫测，最近备受瞩目的开源软件安全事件（如 log4Shell、Solar Winds、Colors and Fakers 等）及其对全球数以千计公司造成的灾难性影响，凸显了企业目前在强化数字环境方面所面临的挑战。例如，IDC 的一项调查显示，虽然2022 年一年内全球就有超过 1,000 万人和 1,700 家实体受到开源软件供应链攻击的影响，但仍有87% 的受访者青睐继续使用开源组件来构建软件。使用开源代码的人日益增多，这带来不可否认的优势，促进合作开发，加快发展进程。然而，也必须认识到，这种整合存在风险。

开源代码的崛起： 一把双刃剑

有行业研究表明，82% 的开源软件组件因存在漏洞、安全问题、代码质量或可维护性问题而存在“固有风险”。该报告还显示，虽然企业中超过 70% 的软件是开源的，但这些组件往往没有得到追踪、维护、更新或清点，从而在软件供应链中留下了严重的漏洞，让威胁行为者有可乘之机。这些数据凸显出当下已成为软件创新与安全相融合的“节骨眼”。

在当今软件驱动的世界里，“唯快不破”的口号推动着软件开发，对软件开发和部署的速度提出更高的要求。开发人员要兼顾业务需求，而安全团队则要增加保护层，但这些措施可能会延长时间。尽管偷工减料的做法很具诱惑性，但 IDC 的智慧还是占了上风：“今天安全不意味着明天一定安全”。IDC 指出，在部署之后进行二进制漏洞修复，可能会花费数百万美元。更明智的做法是在部署软件之前，评估并解决安全问题，避免在高风险运行时造成影响。在创新无止境的时代，安全不是一种选择，而是成败的决定性因素。

开发人员的关键考量因素

软件开发过程错综复杂，为加速开发和部署安全软件，关键在于开发人员、运营团队和安全团队之间的协作。

开发人员需要考虑三大关键领域：

• 为拦截抵御新出现的安全威胁，当务之急是对依赖的事项加强管理并定期更新。
• 进行彻底的二进制审查，保障第三方组件的真实性和完整性，从而降低潜在风险。
• 实施持续监测和自动漏洞扫描，确保主动识别并修复安全漏洞。通过遵守这些关键注意事项，开发人员就能提高软件的可靠性和弹性，增强用户信心，保护整个数字生态系统。

将安全工具无缝集成到开发工作流中，能够带来变革性优势。通过采用整合平台，无需管理众多不同的工具，能够简化运营，提高效率并推动协作。这种方法不仅能加快解决问题的速度，还能通过最大限度地减少漏洞来加强安全性。面对不断变化的威胁，整合平台的方式具有战略上的必要性，赋能公司应对挑战，同时增强自身整体安全态势。

确保软件供应链的安全： 强化，强化，再强化

当开发人员穿行于开源软件的动态环境中时，有一条基本原则至关重要 —— 安全必须渗透到软件供应链的方方面面。在软件开发生命周期的各个环节落实安全措施，就好比加固数字堡垒的城墙，防止入侵和漏洞。为实现更安全的未来，关键就在于拥有能够从一开始就扫描并阻止开源软件组件渗入软件供应链的强大工具。开发人员有责任在自身项目中优先考虑安全问题。他们利用所掌握的各种安全工具，就能创建一个创新与安全和谐共存的弹性生态系统。实现安全的开源代码不仅是一种责任，也证明了坚定的承诺——建立以协作、创新和安全为基础的数字环境。