開源軟件代碼公開就安全嗎？

今天，軟件已經全面滲透到世界的方方面面，以至於人們用“軟件正在吞噬世界”“每一家企業都會是軟件公司”來形容這一趨勢。在軟件對世界方方面面的滲透中，開源軟件無疑充當了關鍵角色。

如今，開源已經成爲行業趨勢，並正加速普及。根據紅帽公司不久前發佈的《2022企業開源現狀》市場研究報告，95%的IT領導者認爲開源對其公司非常重要，和去年的90%相比增加了5%。同時，在接下來的兩年裡，受訪企業使用開源軟件佔總軟件數將上升8%。

當越來越多開源軟件進入企業，軟件的安全問題也逐漸顯示出來。然而，由於開源軟件使用的便利性，可能導致忽略其帶來的風險。過去使用商業軟件，軟件安全性由原廠負責，不管其是否安全，但至少有人兜底，而現在採用開源軟件後，軟件安全嗎？怎麼保證安全？

被忽視的安全風險

談到開源軟件的安全，我們經常聽到的一個說法是，開源軟件代碼都是公開的，和黑盒子的商業軟件相比要安全得多。這個說法貌似有理，其實經不住推敲。

開源軟件雖然代碼公開，但誰來對代碼的安全負責，這個責任如果沒有明晰，開源軟件的安全性並沒有保證。一個軟件可能有上百萬行代碼，誰對每一行代碼進行審覈，是用戶自己還是社區貢獻者或者對外售賣者？

“心臟滴血”漏洞是一個很好的例子。“心臟滴血”是開源軟件包OpenSSL中的一個漏洞，軟件供應商對外售賣的商業軟件中採用了該開源軟件，但安全責任並未從開源代碼提供者轉移到軟件供應商，最終由用戶承擔了軟件漏洞的風險。

另一方面，開源軟件有開放和共同參與的特點，代碼公開後不排除有人會藉機植入惡意代碼，這時開源反而將軟件置於危險之中。

有機構對開源軟件進行過代碼安全的檢查，結果也證實了上述擔心。早在2006年，美國國家安全部曾開展“開源軟件代碼測試計劃”，對大量開源軟件進行安全隱患的篩選和加固，截止到2017年2月，累計檢測7000多個開源軟件，發現了大量安全缺陷。

軟件安全公司Snyk和Linux Foundation近期發佈了一份報告《Addressing Cybersecurity Challenges in Open Source Software》，根據它們的調查，Java編寫的項目平均有超過47個高危漏洞和28箇中危漏洞，排名第二的JavaScript，後者平均有18個和21個漏洞，Python平均有20個。

另外，根據新思科技發佈的《2022開源安全與風險分析報告》，84%的開源代碼庫至少含有一個漏洞，近三年漏洞比例逐漸增高，60%的已審覈代碼庫中包含高風險漏洞。

顯然，大部分開源軟件的使用者認爲軟件代碼中的漏洞藏不住，很快就會被發現，而現實情況並非如此。因此，我們不能簡單地說開源軟件是安全還是不安全，更不能想當然地認爲開源就安全。

用企業開源軟件，降低安全風險

對於開源軟件的使用企業，在自身沒有足夠技術實力的情況下，如何才能降低開源軟件的安全風險？答案就是儘量選擇企業開源軟件，而根本的解決辦法還是儘早開展開源治理。

一般而言，企業獲得開源軟件有兩個來源：一個是從開源社區下載，這是社區開源版；還有一個是企業發行版，比如紅帽Linux（RHEL），它們就是企業開源軟件。相比社區開源軟件，企業開源軟件的發行者會在社區版軟件的基礎上進行大量工作，比如集成和對代碼進行安全審覈。

顯然，和社區版相比，企業開源軟件具有更好的安全性，這一點被越來越多企業管理者認可。根據紅帽的調查報告，89%的受訪者認爲，企業級開源軟件比專有軟件更安全或同樣安全。這些數值與去年的調查結果相近，但認爲“更安全”的人佔比增加了4%。接受調查者把“安全”列爲採用企業開源軟件的四大好處之一。這四大好處分別爲：安全性更好（32%）、軟件質量更高、能夠安全地應用開源技術（28%）、爲雲技術設計（26%）。

爲何安全會成爲企業開源軟件的一個優勢？紅帽全球副總裁兼大中華區總裁曹衡康解釋說主要有以下幾個原因：第一，企業開源軟件的發行者會測試和審覈開源代碼；第二，軟件發行方會及時跟進安全漏洞，提供補丁；第三，所有補丁都是追溯的，有保障的。

紅帽全球副總裁兼大中華區總裁曹衡康

實際上，作爲企業開源軟件的發行方，其對發行的企業軟件扮演着守護者的角色。曹衡康說，紅帽不是簡單地關注單一軟件的安全，而是強調整個開源軟件供應鏈的安全。

“紅帽所說的安全是供應鏈的整體安全，從底層的基礎設施到開發、到運維、到交付，每一個環節都要安全，也就是說，從最底層的Linux開始、到OpenShift、再到Ansible，紅帽都會植入安全的機制，進行全生命週期的安全防護。”曹衡康表示。