人工智能、云計(jì)算、大數(shù)據(jù)等技術(shù)的核心都是軟件，可以說(shuō)軟件是新一代信息技術(shù)的底座。在中國(guó)《"十四五"軟件和信息技術(shù)服務(wù)業(yè)發(fā)展規(guī)劃》中重點(diǎn)突出了開(kāi)源相關(guān)內(nèi)容。開(kāi)源能加速軟件迭代升級(jí)，推動(dòng)產(chǎn)業(yè)生態(tài)完善。因此，做好開(kāi)源治理，才能有效提升"軟實(shí)力"。

　　隨著中國(guó)數(shù)字化轉(zhuǎn)型進(jìn)程穩(wěn)步推進(jìn)，軟件已經(jīng)成為業(yè)務(wù)運(yùn)營(yíng)的必備要素之一，并滲透到幾乎所有的重要行業(yè)和領(lǐng)域。同時(shí)，軟件設(shè)計(jì)開(kāi)發(fā)愈加復(fù)雜，軟件供應(yīng)鏈安全防護(hù)難度持續(xù)加大。新思科技(Synopsys)指出，軟件供應(yīng)鏈安全直接關(guān)系到關(guān)鍵基礎(chǔ)設(shè)施安全，影響著企業(yè)發(fā)展和普通民眾的生活。促進(jìn)軟件供應(yīng)鏈安全成為社會(huì)的關(guān)注焦點(diǎn)。提起軟件供應(yīng)鏈，不得不提開(kāi)源組件，因?yàn)殚_(kāi)源組件在現(xiàn)代軟件開(kāi)發(fā)中可以說(shuō)是無(wú)處不在。

　　新思科技開(kāi)源治理專家王永雷表示："《開(kāi)源安全和風(fēng)險(xiǎn)分析》報(bào)告（OSSRA）顯示，被審計(jì)的代碼庫(kù)中開(kāi)源代碼比例從2016年的36%增加到2021年的78%�？梢�(jiàn)，軟件繼續(xù)引領(lǐng)世界，開(kāi)源引領(lǐng)軟件。近年來(lái)，開(kāi)源安全問(wèn)題頻發(fā)，比如黑客利用Docker鏡像的攻擊、開(kāi)發(fā)人員蓄意破壞開(kāi)源庫(kù)等， Apache Log4j程序中發(fā)現(xiàn)的零日漏洞更是業(yè)界的'核爆級(jí)'事件。提升開(kāi)源軟件治理水平，才可以幫助企業(yè)保障軟件供應(yīng)鏈安全。"

　　王永雷指出開(kāi)源軟件治理水平主要分成四個(gè)階段。

　　新思科技在《保護(hù)供應(yīng)鏈安全的六個(gè)考慮因素》白皮書(shū)中強(qiáng)調(diào)"您有責(zé)任跟蹤供應(yīng)鏈中的開(kāi)源組件、許可證和漏洞及其相關(guān)風(fēng)險(xiǎn)"。

　　很多企業(yè)都是在使用開(kāi)源組件的過(guò)程中發(fā)現(xiàn)存在安全漏洞，才去進(jìn)行治理工作。甚至有時(shí)候企業(yè)的客戶已經(jīng)受到了開(kāi)源漏洞的影響，才進(jìn)行補(bǔ)救工作。這樣的開(kāi)源治理處于起步的階段。

　　對(duì)于軟件供應(yīng)鏈而言，整個(gè)過(guò)程中所涉及的每個(gè)組件、人員、活動(dòng)、材料或程序都會(huì)對(duì)最終產(chǎn)品及其用戶產(chǎn)生影響。企業(yè)應(yīng)該在開(kāi)發(fā)、測(cè)試、生產(chǎn)等各個(gè)環(huán)節(jié)進(jìn)行開(kāi)源治理。而開(kāi)源治理的范圍和維度等可以根據(jù)開(kāi)源組件使用的廣度和深度而調(diào)整，應(yīng)該是一個(gè)動(dòng)態(tài)、系統(tǒng)化的管理。

　　開(kāi)發(fā)人員可能會(huì)無(wú)意地將包含有風(fēng)險(xiǎn)的開(kāi)源組件引入其項(xiàng)目之中。但這通常不會(huì)引起注意。隨著開(kāi)源使用越來(lái)越多，治理也越來(lái)越復(fù)雜。因此，企業(yè)需要引入自動(dòng)化工具和流程規(guī)范，以進(jìn)行綜合治理，提升開(kāi)源治理的效率。

　　但是，往往這種治理只停留在開(kāi)發(fā)團(tuán)隊(duì)，并沒(méi)有推廣到整個(gè)公司。開(kāi)源風(fēng)險(xiǎn)不止是安全漏洞，還包括監(jiān)管合規(guī)風(fēng)險(xiǎn)、版權(quán)侵權(quán)、運(yùn)營(yíng)風(fēng)險(xiǎn)等等。妥善管控這些風(fēng)險(xiǎn)需要多部門(mén)協(xié)作，進(jìn)行戰(zhàn)略性管理。

　　新思科技Black Duck軟件組成分析在中國(guó)已經(jīng)擁有了廣泛的用戶群。根據(jù)多年的經(jīng)驗(yàn)，新思科技看到中國(guó)企業(yè)越來(lái)越注重版權(quán)和合規(guī)，而且已經(jīng)從被動(dòng)式的治理轉(zhuǎn)向主動(dòng)式的治理。

　　主動(dòng)式開(kāi)源治理最重要的一點(diǎn)是需要企業(yè)高層對(duì)此予以重視和支持，并且自上而下地打破壁壘。有的企業(yè)成立了"開(kāi)源辦公室"，匯集法務(wù)、安全和技術(shù)等專家，提供一攬子指導(dǎo)，推動(dòng)落實(shí)最佳實(shí)踐，形成良性的互動(dòng)。通常，企業(yè)會(huì)建立一個(gè)自動(dòng)化的開(kāi)源合規(guī)、安全治理平臺(tái)，相關(guān)人員可以在這個(gè)統(tǒng)一的平臺(tái)上進(jìn)行協(xié)作，比如利用開(kāi)源工具對(duì)正在開(kāi)發(fā)的軟件進(jìn)行自動(dòng)化掃描。

　　無(wú)論是開(kāi)源治理還是其它軟件安全計(jì)劃，都需要一個(gè)標(biāo)尺來(lái)衡量成果。度量的內(nèi)容包括修復(fù)開(kāi)源組件漏洞的時(shí)間周期；開(kāi)源組件的高風(fēng)險(xiǎn)的比例；以及不同版本修復(fù)的比例趨勢(shì)等。這可以幫助管理團(tuán)隊(duì)做出更好的判斷和決策，以查漏補(bǔ)缺，持續(xù)提升開(kāi)源組件的安全性和合規(guī)性。

　　近年來(lái)，開(kāi)源安全已經(jīng)受到越來(lái)越多的重視。相關(guān)行業(yè)機(jī)構(gòu)也發(fā)布了參考標(biāo)準(zhǔn)和指南，幫助企業(yè)有序、有效地管理開(kāi)源組件。中國(guó)信息通信研究院（以下簡(jiǎn)稱"信通院"）牽頭編寫(xiě)了一系列開(kāi)源安全相關(guān)的報(bào)告，包括近期發(fā)布的《開(kāi)源安全深度觀察報(bào)告》和《開(kāi)源合規(guī)指南（企業(yè)版）》。新思科技是兩份報(bào)告的參編單位之一。

　　《開(kāi)源安全深度觀察報(bào)告》梳理了主流的開(kāi)源安全風(fēng)險(xiǎn)，從開(kāi)源社區(qū)和開(kāi)源用戶兩個(gè)角度提供開(kāi)源安全的防范建議；《開(kāi)源合規(guī)指南（企業(yè)版）》側(cè)重研究國(guó)內(nèi)外開(kāi)源合規(guī)發(fā)展現(xiàn)狀，通過(guò)分享理論知識(shí)與優(yōu)秀實(shí)踐，旨在幫助企業(yè)提升內(nèi)部開(kāi)源合規(guī)管控能力。

　　新思科技中國(guó)區(qū)軟件應(yīng)用安全技術(shù)總監(jiān)楊國(guó)梁總結(jié)道："軟件定義創(chuàng)新活力，安全是根基。中國(guó)工業(yè)和信息化部印發(fā)的《"十四五"軟件和信息技術(shù)服務(wù)業(yè)發(fā)展規(guī)劃》也明確了提升軟件產(chǎn)業(yè)鏈現(xiàn)代化水平的要求。作為軟件供應(yīng)鏈的重要一環(huán)，開(kāi)源安全對(duì)產(chǎn)業(yè)鏈升級(jí)的影響舉足輕重。當(dāng)然，提升開(kāi)源治理水平不會(huì)一蹴而就，不能僅僅依靠一項(xiàng)技術(shù)或者某個(gè)流程就能快速實(shí)現(xiàn)。這是一個(gè)系統(tǒng)化工程，需要整體策略，從企業(yè)文化、開(kāi)源工具、標(biāo)準(zhǔn)等多個(gè)方面循序漸進(jìn)。隨著開(kāi)源治理水平的提高，企業(yè)可以有效規(guī)避風(fēng)險(xiǎn)，促進(jìn)供應(yīng)鏈安全。"