WEB系統(tǒng)安全之開(kāi)源軟件風(fēng)險(xiǎn)使用評(píng)估

本文分享自天翼云開(kāi)發(fā)者社區(qū)《WEB系統(tǒng)安全之開(kāi)源軟件風(fēng)險(xiǎn)使用評(píng)估》,作者:Coding

https://www.ctyun.cn/developer/article/430900080308293

中國(guó)信息通信研究院（China Academy of Information and Communications Technology，以下簡(jiǎn)稱“中國(guó)信通院”）在2021年舉辦的“ OSCAR 開(kāi)源產(chǎn)業(yè)大會(huì)”上，發(fā)布了《開(kāi)源生態(tài)白皮書(shū)》，在其中雖然沒(méi)有專門闡述開(kāi)源軟件的風(fēng)險(xiǎn)如何防范，但是在其中說(shuō)明了開(kāi)源軟件的風(fēng)險(xiǎn)和挑戰(zhàn)，以及我國(guó)在開(kāi)源治理上的經(jīng)驗(yàn)。

在對(duì)WEB系統(tǒng)的開(kāi)源軟件風(fēng)險(xiǎn)進(jìn)行評(píng)估時(shí)，需要參考白皮書(shū)中的開(kāi)源治理要求。不管是直接使用開(kāi)源軟件，或者購(gòu)買使用了開(kāi)源技術(shù)的商業(yè)軟件都需要去考慮開(kāi)源技術(shù)帶來(lái)的風(fēng)險(xiǎn)，但是這兩種情況規(guī)避風(fēng)險(xiǎn)的責(zé)任主體不同。

在風(fēng)險(xiǎn)評(píng)估時(shí)，按照違約風(fēng)險(xiǎn)、知識(shí)產(chǎn)權(quán)風(fēng)險(xiǎn)、技術(shù)鎖定風(fēng)險(xiǎn)、數(shù)據(jù)安全風(fēng)險(xiǎn)幾個(gè)方面進(jìn)行分析。

1.違約風(fēng)險(xiǎn)

在WEB系統(tǒng)使用開(kāi)源軟件時(shí)，如果沒(méi)有遵守開(kāi)源軟件的法律要求，可能會(huì)面臨法律訴訟、產(chǎn)品召回、聲譽(yù)損失等風(fēng)險(xiǎn)。

2.知識(shí)產(chǎn)權(quán)風(fēng)險(xiǎn)

開(kāi)源軟件提倡的開(kāi)源精神內(nèi)核是公開(kāi)、自由、創(chuàng)新，為產(chǎn)業(yè)發(fā)展注入了巨大的活力。但是WEB系統(tǒng)在使用時(shí)如果不了解知識(shí)產(chǎn)品和開(kāi)源軟件的開(kāi)源許可證聲明內(nèi)容，可能會(huì)侵犯開(kāi)源軟件權(quán)利人的知識(shí)產(chǎn)權(quán)，會(huì)給WEB系統(tǒng)所屬的企業(yè)或者個(gè)人帶來(lái)經(jīng)濟(jì)與聲譽(yù)損失。

而且多數(shù)的開(kāi)源軟件許可證中都存在免責(zé)條款，聲明作者不提供任何擔(dān)保責(zé)任。如果開(kāi)源軟件依賴了第三方私人技術(shù)，WEB系統(tǒng)因?yàn)槭褂昧怂饺思夹g(shù)遭受訴訟，開(kāi)源軟件作者不承擔(dān)任何責(zé)任。

3.技術(shù)鎖定風(fēng)險(xiǎn)

一些開(kāi)源軟件可能存在技術(shù)鎖定問(wèn)題，如果WEB系統(tǒng)過(guò)于依賴該軟件，可能導(dǎo)致后續(xù)無(wú)法剝離，對(duì)業(yè)務(wù)的發(fā)展產(chǎn)生不利影響。

4.數(shù)據(jù)安全風(fēng)險(xiǎn)

開(kāi)源軟件存在的安全缺陷相比其它軟件多，當(dāng)前很多企業(yè)在使用時(shí)沒(méi)有完全按照規(guī)范，甚至可能無(wú)法列出使用的開(kāi)源軟件清單。類似系統(tǒng)信息泄露、密碼管理、資源注入、跨站請(qǐng)求偽造、跨站腳本、HTTP 消息頭注入、SQL 注入、越界訪問(wèn)、命令注入、內(nèi)存泄漏等安全缺陷都有可能被引入到WEB系統(tǒng)中。

為了降低風(fēng)險(xiǎn)，更好地使用開(kāi)源軟件，需要按照以下方式對(duì)上述的風(fēng)險(xiǎn)進(jìn)行規(guī)避。

1.規(guī)避違約風(fēng)險(xiǎn)

嚴(yán)格遵守開(kāi)源軟件許可證的要求，避免違規(guī)使用。

2.規(guī)避知識(shí)產(chǎn)權(quán)風(fēng)險(xiǎn)

正確處理知識(shí)產(chǎn)權(quán)問(wèn)題，評(píng)估開(kāi)源軟件依賴的技術(shù)，加強(qiáng)知識(shí)產(chǎn)權(quán)意識(shí)。

3.規(guī)避技術(shù)鎖定風(fēng)險(xiǎn)

避免過(guò)于依賴單個(gè)開(kāi)源軟件，在選取和使用時(shí)要考慮盡可能使用多個(gè)開(kāi)源軟件，避免技術(shù)鎖定。

4.規(guī)避數(shù)據(jù)安全風(fēng)險(xiǎn)

定期檢查WEB系統(tǒng)以及系統(tǒng)依賴的開(kāi)源軟件是否存在安全漏洞，及時(shí)修復(fù)漏洞。