WEB系統(tǒng)安全之開源軟件風險使用評估

本文分享自天翼云開發(fā)者社區(qū)《WEB系統(tǒng)安全之開源軟件風險使用評估》,作者:Coding

https://www.ctyun.cn/developer/article/430900080308293

中國信息通信研究院（China Academy of Information and Communications Technology，以下簡稱“中國信通院”）在2021年舉辦的“ OSCAR 開源產業(yè)大會”上，發(fā)布了《開源生態(tài)白皮書》，在其中雖然沒有專門闡述開源軟件的風險如何防范，但是在其中說明了開源軟件的風險和挑戰(zhàn)，以及我國在開源治理上的經驗。

在對WEB系統(tǒng)的開源軟件風險進行評估時，需要參考白皮書中的開源治理要求。不管是直接使用開源軟件，或者購買使用了開源技術的商業(yè)軟件都需要去考慮開源技術帶來的風險，但是這兩種情況規(guī)避風險的責任主體不同。

在風險評估時，按照違約風險、知識產權風險、技術鎖定風險、數(shù)據(jù)安全風險幾個方面進行分析。

1.違約風險

在WEB系統(tǒng)使用開源軟件時，如果沒有遵守開源軟件的法律要求，可能會面臨法律訴訟、產品召回、聲譽損失等風險。

2.知識產權風險

開源軟件提倡的開源精神內核是公開、自由、創(chuàng)新，為產業(yè)發(fā)展注入了巨大的活力。但是WEB系統(tǒng)在使用時如果不了解知識產品和開源軟件的開源許可證聲明內容，可能會侵犯開源軟件權利人的知識產權，會給WEB系統(tǒng)所屬的企業(yè)或者個人帶來經濟與聲譽損失。

而且多數(shù)的開源軟件許可證中都存在免責條款，聲明作者不提供任何擔保責任。如果開源軟件依賴了第三方私人技術，WEB系統(tǒng)因為使用了私人技術遭受訴訟，開源軟件作者不承擔任何責任。

3.技術鎖定風險

一些開源軟件可能存在技術鎖定問題，如果WEB系統(tǒng)過于依賴該軟件，可能導致后續(xù)無法剝離，對業(yè)務的發(fā)展產生不利影響。

4.數(shù)據(jù)安全風險

開源軟件存在的安全缺陷相比其它軟件多，當前很多企業(yè)在使用時沒有完全按照規(guī)范，甚至可能無法列出使用的開源軟件清單。類似系統(tǒng)信息泄露、密碼管理、資源注入、跨站請求偽造、跨站腳本、HTTP 消息頭注入、SQL 注入、越界訪問、命令注入、內存泄漏等安全缺陷都有可能被引入到WEB系統(tǒng)中。

為了降低風險，更好地使用開源軟件，需要按照以下方式對上述的風險進行規(guī)避。

1.規(guī)避違約風險

嚴格遵守開源軟件許可證的要求，避免違規(guī)使用。

2.規(guī)避知識產權風險

正確處理知識產權問題，評估開源軟件依賴的技術，加強知識產權意識。

3.規(guī)避技術鎖定風險

避免過于依賴單個開源軟件，在選取和使用時要考慮盡可能使用多個開源軟件，避免技術鎖定。

4.規(guī)避數(shù)據(jù)安全風險

定期檢查WEB系統(tǒng)以及系統(tǒng)依賴的開源軟件是否存在安全漏洞，及時修復漏洞。