SBOM(软件物料清单)被质询问题及应对建议1:使用过时的开源软件
近年来,开源软件被广泛应用到企业的软件开发实践,软件供应链安全受到越来越多的国家和企业重视。2021年底爆发的Log4j核弹级安全漏洞,被业界评论为“互联网历史上破坏力最惊人的漏洞之一”。多个国家和地区因此出台相关的法案或提案,比如美国的《保护开源软件法案》(Securing Open Source Software Act, SOSSA)、欧盟的《网络韧性法案》(Cyber Resilience Act,CRA),要求软件供应商采取相应措施,保障软件的供应链安全。
监管部门、软件采购商通过什么方式评估软件供应商的软件质量水平和安全风险,是一个需要权衡解决的问题。要求软件供应商提供源代码进行扫描是最直接的方式,但这种方式难以被软件供应商接受。源代码是软件企业的核心商业秘密,一旦泄露或被竞争对手获取,势必会对软件企业造成巨大的损失。软件物料清单(SBOM)成为了政府部门监管软件安全、软件采购客户评估软件安全和合规风险,且容易被软件供应商接受的理想替代方案。目前已经有部分企业,尤其是欧洲客户,在采购软件或者含有软件的硬件产品的过程中,要求国内供应商提供SBOM,以评估他们所依赖的软件在操作上的可靠、安全和合规性。部分客户甚至会对SBOM中反映的软件安全或合规问题提出问询,要求国内供应商解释或改正。
笔者结合近年来为企业开源合规治理提供法律服务的实务经历,分期梳理企业SBOM被欧洲客户问询的常见问题,分析国外客户对于软件供应链安全和合规的关注点,并提出应对建议,以期对国内企业有所帮助。
问题一:使用过时的开源软件
01
使用过时开源软件的现象较普遍
开源社区的活跃度、维护能力千差万别,部分开源项目由于原作者精力限制、缺乏社区支持或者资金问题等各种原因而缺乏持续的维护,开源软件未能跟上最新的技术趋势,可能不适用于不断变化的系统环境。根据Sonatype发布的《软件供应链状况》,在2023年,只有11%的开源项目得到积极维护,而有18.6%的项目开源项目停止了维护。(注1)但这些项目的开源代码仍然广泛存在于各类开源软件或者商业软件中,对企业的软件供应链安全带来巨大的风险。
对于能够得到持续维护的开源项目,也有许多使用了该开源软件的企业,因为缺乏相应的管理制度,未能在开源社区发布新版本后,及时更新所使用的开源软件版本。Veracode的首席研究官Chris Eng曾表示:大多数开发人员,当他们下载一个开源组件并将其整合到他们的应用程序中时,永远不会回去更新它。(注2)根据 Synopsys发布的《 2024 年开源安全和风险分析报告》显示,在其扫描的 1067 个代码库中,49%的代码库包含在过去24个月内没有开发活动的开源组件。(注3)
02
使用过时开源软件的风险
部分开源项目缺少系统的代码安全审查机制,存在一定的安全漏洞风险。同时,开源软件的源代码对外公开,导致这些潜在的安全漏洞被暴露,容易被利用和攻击。定期维护和更新版本对于降低开源软件的安全漏洞风险至关重要,过时未更新的开源软件,安全漏洞风险更高。根据Veracode的研究,应用程序越旧,出现安全漏洞的可能性就越大。首次扫描新应用程序时,32%的应用程序存在安全漏洞。在五年的时间节点上,这一比例跃升至70%,到一个应用程序使用10年的时候,它有90%的可能性至少有一个安全漏洞。(注4)
除了安全漏洞的风险增加之外,使用过时的开源软件,还可能存在缺少新功能、无法兼容新系统环境等问题。
另外,SBOM是客户评估供应商的软件质量、安全漏洞和合规风险的一个重要途径。如果SBOM中存在数量较大的过时开源软件,可能给客户造成该供应商内部缺乏软件安全管理体系、软件产品质量不高、可能存在合规风险等负面形象,对产品销售业务造成不利影响。
03
过时开源软件的应对建议
1、定期跟踪所使用开源软件的漏洞信息,及时跟进修复。
开源社区定期发布安全漏洞和修复公告的机制是一把双刃剑,这种机制可以帮助使用开源软件的企业了解安全漏洞并及时修复,同时也会导致开源软件的安全漏洞和实现方式被进一步传播。对于使用了该开源软件,但由于各种原因未及时修复漏洞的企业,无疑是雪上加霜。部分黑客会利用这些漏洞信息,对可能使用该开源软件的软件大面积地尝试进行恶意攻击。以Log4j安全漏洞事件为例,在2021年12月9日(编者注:Apache基金会于12月10日公告安全漏洞)之前,美国网络安全审查委员会未发现恶意利用Log4j漏洞的情况,漏洞公布后,对Log4j漏洞的利用活动迅速增加。(注5)考虑到过时开源软件的安全漏洞风险更高,建议企业使用代码扫描工具定期扫描所使用开源软件的安全漏洞信息,并及时跟进修复。
2、定期跟踪开源软件的版本更新情况,必要时进行更新或更换。
建立开源软件全生命周期管理流程,从引入、使用、维护到退出各个环节对开源软件进行严格管理。在引入和使用阶段,应当定期关注开源社区版本的更新情况,选择较新且稳定运行的最佳版本。在维护阶段,定期追踪和评估企业所使用开源软件的版本更新情况,必要时进行版本更新。开源软件的最新版本并不等于最佳版本,且更新版本需要投入一定的精力,企业不可能对每个版本都进行更新。但在新版本修复高危安全漏洞的情况下,务必进行更新;在开源软件进行大版本更新、为兼容新技术环境开发新功能等情况下,也建议进行更新,避免出现与新的系统环境不兼容的情况。对于缺少维护、长期不更新的开源组件,应当进行退出评估,更换为其它开源软件。
注释
注1:Java生态一蹶不振?开源项目接连停更!如何拯救Java生态!https://zhuanlan.zhihu.com/p/660848451
注2:修复来自开源和遗留程序的旧的、不安全的代码的三种方法 https://mp.weixin.qq.com/s/2NzvMZtECBN_hXMBr74ISg
注3:2024年开源安全与风险分析报告-概要https://blog.csdn.net/laixiangmin/article/details/136564501
注4:修复来自开源和遗留程序的旧的、不安全的代码的三种方法 https://mp.weixin.qq.com/s/2NzvMZtECBN_hXMBr74ISg
注5:技经观察丨Log4j漏洞为开源软件安全敲响警钟 https://www.sohu.com/a/581737567_120319119
作者简介
邹良城
广东良马律师事务所律师
原腾讯知识产权诉讼和维权总监
广东良马律师事务所律师,曾在腾讯公司法务部工作十年,负责腾讯集团的知识产权诉讼和维权工作,作为腾讯方代理人主办最高法院审理的“3Q”大战系列案件,对于互联网与软件领域的法律事务具有丰富的实务操作经验。
对于开源软件的合规治理与法律政策有深入的研究,曾为深圳市某芯片公司、上海某汽车制造公司、广东某汽车零件公司、中移金融科技有现公司、深圳市某智能硬件公司等提供开源软件的法律培训、合规咨询、合规治理体系建设等法律服务,曾发表多篇与开源合规治理相关的法律实务文章。
联系方式(微信): lawyerzou2007;邮箱:zouliangcheng@law-lm.com
张晓晨
广东良马律师事务所律师
擅长领域:软件与互联网法律实务、游戏知识产权侵权、公司常年法律顾问、民商事案件。
张晓晨律师,西南政法大学法学学士,南京大学法律硕士。作为项目主办律师负责腾讯旗下多款知名游戏的维权及诉讼项目,深圳市某上市游戏公司全品类游戏维权项目,并参与上海某汽车公司、深圳某芯片独角兽公司的开源法律培训与合规咨询项目。
关于安势信息
上海安势信息技术有限公司是国内先进的软件供应链安全治理解决方案提供商,核心团队来自Synopsys、华为、阿里巴巴、腾讯、中兴等国内外企业。安势信息始终坚持DevSecOps的理念和实践,以多维探测和底层引擎开发等技术为核心,提供包括清源CleanSource SCA(软件成分分析)、清本CleanCode SAST(企业级白盒静态代码扫描)、清正CleanBinary (二进制代码扫描)、安全服务等产品和解决方案,覆盖互联网、汽车、医疗、通信、金融等多元化场景的软件供应链安全治理最佳实践。
欢迎访问安势信息官网www.sectrend.com.cn或发送邮件至 info@sectrend.com.cn垂询。
