我們被軟件叫醒�,用軟件打車、點(diǎn)外賣���、購物�,借助各種軟件開展工作,夜晚又聽著軟件中的音樂睡去��。各種各樣的軟件方便����、快捷、高效���,甚至有趣�、好玩����,讓我們愛不釋手?���?墒牵鼈儼踩珕?
今年兩會(huì)�,多位來自互聯(lián)網(wǎng)領(lǐng)域的代表委員們敲響警鐘:在軟件隨指可觸的今天,其背后的安全風(fēng)險(xiǎn)亟待加強(qiáng)防范�����。
平均每個(gè)代碼庫約有158個(gè)漏洞
“全球范圍內(nèi)90%以上的云服務(wù)器操作系統(tǒng)、80%以上的移動(dòng)操作系統(tǒng)都基于開源軟件�。”全國政協(xié)委員、360集團(tuán)創(chuàng)始人周鴻祎今年尤其關(guān)注開源軟件存在的安全風(fēng)險(xiǎn)����。
在周鴻祎看來,只要是人寫的軟件就一定有漏洞��,開源軟件也不例外�。他介紹,平均每個(gè)代碼庫約有158個(gè)漏洞�����,這些漏洞會(huì)被繼承下來�����,進(jìn)而影響到軟件本身的安全���。
“現(xiàn)代軟件業(yè)高度依賴于開源體系存在��。開源代碼及其所使用的代碼托管服務(wù)已經(jīng)是軟件安全工程體系的重要組成部分。”全國政協(xié)委員���、安天集團(tuán)創(chuàng)始人肖新光也對此高度關(guān)注���。
肖新光說��,近年多次出現(xiàn)開源軟件漏洞����、開源項(xiàng)目污染和維護(hù)者刪除代碼等安全事件;相關(guān)國家將開源平臺(tái)作為制裁他國之手段的情況更值得警惕���。
“開源軟件開發(fā)人員來自不同國家�、不同背景����,源代碼的查看、修改��、增加權(quán)限較為開放��,很容易被植入‘后門’����。同時(shí),業(yè)界對開源代碼很多是直接拿來使用����,或只做些小修小補(bǔ)�����,因此很容易埋下未知的安全風(fēng)險(xiǎn)�����。”周鴻祎說��。
令周鴻祎擔(dān)憂的是����,我國銀行���、能源��、國防�����、醫(yī)療�����、電力等重要行業(yè)運(yùn)行的系統(tǒng)大量使用開源軟件���。而開源軟件由于生態(tài)開放,其中存在的大量安全漏洞風(fēng)險(xiǎn)如果被惡意利用�,足以撼動(dòng)我國關(guān)鍵信息基礎(chǔ)設(shè)施的安全。
對關(guān)鍵信息基礎(chǔ)設(shè)施開展“摸底”
其實(shí)��,不唯獨(dú)開源軟件����,整個(gè)軟件領(lǐng)域的安全風(fēng)險(xiǎn)問題都不容忽視。
“現(xiàn)代軟件開發(fā)交付過程極為復(fù)雜���,涉及到編譯環(huán)境和各種類庫�����、開源代碼�����、公用開發(fā)包����、中間件等,軟件交付過程中涉及復(fù)雜的支撐關(guān)系�����。” 肖新光提到�,軟件成分和依賴關(guān)系缺乏透明性以及缺少安全驗(yàn)證機(jī)制支撐,導(dǎo)致軟件缺陷����、隱藏威脅的影響范圍難以追溯跟蹤。
另一方面��,肖新光指出��,目前軟件開發(fā)安全標(biāo)準(zhǔn)規(guī)范落后�,無法覆蓋全生命周期,在軟件規(guī)劃�、需求定義、設(shè)計(jì)開發(fā)和對應(yīng)的測試驗(yàn)證環(huán)節(jié)仍有極大提升空間�。針對軟件安全的保障機(jī)制和標(biāo)準(zhǔn)尚未形成統(tǒng)一體系。
面對這些現(xiàn)狀和問題���,代表委員們提出不少對策�。
周鴻祎建議,對關(guān)鍵信息基礎(chǔ)設(shè)施和重要信息系統(tǒng)開展普查��,摸清開源軟件使用情況“家底”����,精確掌握其類型�、協(xié)議、來源等基礎(chǔ)信息��,并進(jìn)行系統(tǒng)漏洞挖掘����,布局安全風(fēng)險(xiǎn)管理。
“建議建立軟件企業(yè)安全責(zé)任制���,明確軟件企業(yè)承擔(dān)起開源軟件的全生命周期安全管理���。”周鴻祎還提出,鼓勵(lì)中國軟件開發(fā)者積極參與國際開源社區(qū)���,促進(jìn)國際開源軟件的漏洞挖掘��。
“建議主管部門牽頭���,在重點(diǎn)行業(yè)領(lǐng)域建立推動(dòng)軟件供應(yīng)鏈透明化機(jī)制����。同時(shí)將對應(yīng)的檢測與驗(yàn)證能力作為關(guān)鍵軟件�����、設(shè)備和系統(tǒng)的強(qiáng)制要求��。”肖新光說����。
肖新光補(bǔ)充道,在加快軟件業(yè)開源生態(tài)構(gòu)建的同時(shí)���,應(yīng)推動(dòng)系列專項(xiàng)工程����,強(qiáng)化開源生態(tài)安全和軟件生態(tài)安全�����,并建立對應(yīng)安全監(jiān)測機(jī)制���。此外�,還應(yīng)制定以軟件安全保障為首要目標(biāo)的系列工程推薦標(biāo)準(zhǔn)和強(qiáng)制要求。
關(guān)鍵詞:
手機(jī)軟件安全風(fēng)險(xiǎn)
泄漏個(gè)人隱私
互聯(lián)網(wǎng)安全監(jiān)管
軟件供應(yīng)鏈透明化機(jī)制
軟件安全風(fēng)險(xiǎn)成泄漏隱私“最大漏洞” 相關(guān)行業(yè)監(jiān)管還須不斷升級(jí)&url=http://m.sw-wood.cn/news/kj/2022/0310/65140.html&pic=picture/1121922106_15101037383211n.jpg)
軟件安全風(fēng)險(xiǎn)成泄漏隱私“最大漏洞” 相關(guān)行業(yè)監(jiān)管還須不斷升級(jí)&pics=picture/1121922106_15101037383211n.jpg)
