2019年,一個全新的市場——信創產業開始進入了大家的視野;進入2020年,在復工復產、“新基建”全面啟動的背景下,各地信創項目開始大面積鋪開,信創產業也隨之出現了一個現象級的風口。與此同時,和信創產業相關的生態體系,包括開源軟件、業務應用、安全防護等,也成為業界關注的焦點。
信創產業“大廈”離不開開源軟件的“磚頭瓦塊”
信創產業,即信息技術應用創新產業。在過去,中國IT底層標準、架構、產品、生態大多數都由美國IT巨頭來制定,由此存在諸多安全風險。因此,中國要逐步建立基於自己的IT底層架構和標準,形成自有開放生態。基於自有IT底層架構和標準建立起來的IT產業生態便是信創產業的主要內涵。
信創產業成為“新基建”的重要內容
權威機構指出,2020年是信創產業全面推廣的起點,未來三到五年,信創產業將迎來黃金髮展期。我國國產基礎軟硬件從“不可用”發展為“可用”,並正在向“好用”演變。信創產業作為“新基建”的重要內容,將成為拉動經濟發展的重要抓手之一,政府投入預計將會得到充分保證。
很多人對信創產業經常談到的自主創新有一種誤解,認為自主創新就意味著每行代碼都要自己原創,這樣才確保有自主產權,這一方面很不現實,第二也不符合開源開放、共享的精神。
拿瀏覽器來說,Chromium瀏覽器代碼規模有2400萬行,一個Windows操作系統大約5000萬行左右,所以做一個瀏覽器等於小半個操作系統。而開發Windows操作系統的成本一般在百億美元級別,甚至有人用修建胡夫金字塔,來比喻開發Windows的龐大工程量。
“可以說,現代軟件大多數是被‘組裝’出來的,不是被‘開發’出來的”,奇安信代碼安全事業部總經理黃永剛表示。事實上,現代軟件開發越來越像工業生產和製造,原材料就是開源軟件,加上自己寫的業務代碼,最後“組裝”出一個軟件系統。
黃永剛看來,開源軟件已經成為構建網絡空間最基礎的“磚頭瓦塊”,無處不在。“開源軟件已經成為信創生態系統開發和建設的核心基礎設施,開源軟件安全問題應該上升到基礎設施安全的高度來對待。”
從現有信創生態來看,從操作系統,到數據庫、中間件,以及辦公軟件等,都依賴於開源生態。放眼全球,開源軟件已經成為軟件世界的重要組成部分。根據 Gartner 統計,99% 的組織在其 IT 系統中使用了開源軟件。
每1000行代碼有 14 個安全缺陷 開源軟件安全不容忽視
今年 3 月,安全公司 WhiteSource 發佈了一份《開源安全年度報告》。報告表明,2019 年,公開披露的開源安全漏洞數量再創新高,總數為 6100 個。與 2018 年相比,開源安全漏洞的數量增長近 50%。這份報告表明,開源軟件的安全問題非常嚴重。
開源“心臟出血”漏洞曾席捲全球
2014 年,開源軟件 OpenSSL Heartbleed(心臟出血)漏洞席捲全球,全球超過三分之二的網站“心臟出血”,大量私鑰和其他加密信息處於暴露危險下。2017 年,美國徵信巨頭 Equifax 發生數據洩露,涉及近 1.45 億用戶。據悉,這起數據洩露事件的原因是黑客利用 Struts 開源軟件的漏洞實施攻擊。
以封閉、安全著稱的蘋果公司,也未能獨善其身。2015年,由於iOS開發者使用了非官方渠道、帶後門的Xcode編輯器,導致AppStore上海量應用感染了XcodeGhost病毒,難以估量的用戶個人數據被傳到黑客服務器,其中包括微信、高德、滴滴、花椒、58同城、百度音樂、網易雲音樂、12306、同花順、南方航空、工行融e聯等主流APP,首批感染病毒APP數量近千,至少1億用戶受到影響。專家認為,工業化時代,一個後門有可能致國內的主流APP全部中招,其危害不言而喻。
無論是 OpenSSL“心臟出血”漏洞,還是 Equifax 數據洩露,都是因為開源軟件出現安全問題。據悉,通過開源項目檢測計劃,奇安信代碼安全團隊發現開源軟件的安全問題確實非常嚴重。相關數據分析和統計顯示,開源軟件的代碼安全缺陷密度是 14.22/KLOC,高危安全缺陷密度為 0.72/KLOC。換句話說,每 1000 行開源軟件代碼中就有 14 個安全缺陷,每 1400 行開源軟件代碼中就有 1 個高危安全缺陷。
除了代碼存在安全缺陷之外,開源軟件之間由於存在關聯依賴,加劇了開源軟件的漏洞管理難度。“開源軟件之間的依賴和調用關係非常複雜,其漏洞的放大作用非常顯著,簡言之,一個開源軟件出現漏洞,會導致依賴它的其他開源軟件受到影響,而且層層關聯依賴,這就導致非常隱蔽和複雜的攻擊面。”黃永剛談到。
因此,對開源組件的梳理和漏洞分析,一定需要系統化的方法和自動化的工具,才能做到可管理、可持續,不留死角。
代碼安全 為信創生態的每塊“磚瓦”加固
千里之堤,毀於蟻穴,如果地基是沙土地,原材料隱患迭出,最終建成的大廈必然是“豆腐渣”工程。業內人士認為,隨著信創系統開發過程中開源軟件的使用越來越多,開源軟件已經成為了軟件開發的核心基礎設施,開源軟件的安全問題,應該上升到基礎設施安全的高度來對待。
奇安信安全專家指出,代碼是軟件的原始形態,軟件代碼是構建信創系統的基礎組件,軟件代碼中安全漏洞和未聲明功能(後門)的存在是安全事件頻繁發生的根源。忽視軟件代碼自身的安全性,僅僅依靠外圍的防護、問題產生後的修補等方法,捨本逐末,必然事倍功半。因此,只有通過管理和技術手段保障了軟件代碼自身的安全性,再輔以各種安全防護手段,才是解決當前安全問題的根本解決之道。
據悉,奇安信代碼衛士(簡稱:代碼衛士)是一套靜態應用程序安全測試系統,採用源代碼靜態分析技術,在不改變企業現有開發測試流程的前提下,與軟件版本管理、持續集成、缺陷跟蹤等系統進行集成,將源代碼安全缺陷檢測和源代碼安全合規檢測融入到企業開發測試流程中,幫助信創企業以最小代價建立代碼安全保障體系並落地實施,構築信息系統的“內建安全”。
同樣,針對開源軟件應用的現狀及安全風險,奇安信發佈了開源衛士產品。它是一款集開源軟件識別和安全管控於一體的軟件成分分析系統,通過雲端分析中心在全球範圍內獲取開源軟件信息和漏洞情報,利用自主研發的開源軟件分析引擎為用戶提供開源軟件識別、開源軟件漏洞分析及開源軟件漏洞情報獲取等功能,幫助行業用戶掌握信息系統中的開源組件資產和漏洞情報,降低由開源軟件帶來的安全風險,保障交付更安全的軟件。
奇安信為信創夥伴免費提供開源組件安全檢測服務
為了給信創產業提供良好的開源環境,近日,奇安信決定為信創生態戰略合作伙伴,免費提供開源組件安全檢測服務,服務時間持續至5月30日。此舉推出之後,很快在信創領域引發了非常好的反響。
新基建加快信創發展 代碼安全需同步規劃
今年3月,工信部發言人謝少鋒對外表示,工信部將實施國家軟件重大工程,集中力量解決關鍵軟件的“卡脖子”問題,這意味著,圍繞“新基建”的國產軟件全面規模化應用進程將加快,信創產業迎來嶄新的發展機遇,並給開源軟件帶來巨大的需求。而“奇安信代碼安全”秉承自主可控的國產化基因,基於安全可信技術和全信創架構,支持主流信創的操作系統、固件、中間件、辦公應用等,為客戶提供軟件源代碼安全、開源組件安全、固件安全和服務四位一體的信創解決方案。
奇安信代碼安全實驗室具有業內領先的漏洞挖掘和研究能力,持續支撐國家級漏洞平臺的技術工作,多次向國家信息安全漏洞庫(CNNVD)和國家信息安全漏洞共享平臺(CNVD)報送原創通用型漏洞信息;幫助微軟、Cisco、Juniper、Adobe、蘋果、VMware、阿里雲、華為、施耐德等大型廠商的產品發現了100多個安全漏洞。不久前,奇安信代碼安全實驗室同時獲得了兩大軟件巨頭微軟和Oracle的官方致謝和獎金,其中幫微軟發現了五個“高危”漏洞,幫助Oracle發現1個“高危”漏洞,並第一時間協助其修復漏洞。
奇安信代碼安全實驗室獲微軟官方致謝
目前,代碼安全系列產品全面覆蓋信創產業多個核心場景,助力推動信創產業發展,滿足“新基建”中安全的要求。奇安信建議,信創生態在發展之初,代碼安全就需要同步規劃進去,從根源處實現信創架構安全化、可信化,確保整個信創生態系統更加安全可靠。
