从开源组件安全现状谈开源治理实践
据Gartner表示,现代软件大多数是被组装出来的,而不是被开发出来的。据不完全统计,一个应用的开源组件占整个应用的60%,剩下的40%由业务代码、配置文件、构建脚本、静态资源等数据构成。在软件开发过程中开源组件的使用越来越广泛,其地位也越来越重要。
据Gartner表示,现代软件大多数是被组装出来的,而不是被开发出来的。据不完全统计,一个应用的开源组件占整个应用的60%,剩下的40%由业务代码、配置文件、构建脚本、静态资源等数据构成。在软件开发过程中开源组件的使用越来越广泛,其地位也越来越重要。
2022年1月13日,美国联邦机构联合谷歌、亚马逊等一众科技公司,基于Log4j漏洞开展了一场关于开源软件安全问题的重要讨论。不得不提到的是 ,这次会议明确指出了改进软件安全和提升软件供应链的透明度是解决这类风险的关键要素。
随着“软件定义一切”时代的到来,以及容器、微服务、云原生等新兴技术在软件行业的普及应用,几乎所有的软件产品已使用或包含了开源组件/软件,相应的软件供应链攻击事件也日益增长。
现如今,是“软件定义一切”的时代,软件已然成为人类社会基础设施的一部分,与个人生活、社会民生、国家发展高度融合。而大力发展信创是我国目前重要的一项国家战略,为当今形势下国家经济发展注入了新动能。
近年来,数字经济发展如日方升,人们在享受网络便捷服务的同时,也面临着一系列新的风险。“如何保障数据安全”成为了人们关注的热点话题。距离《数据安全法》正式实施还有不到一个月的时间,随着一连串的敏感事件的发生,网络安全的热度被推向了一个高潮。国家政策一个又一个的出台,力促数据应用合规化、数据交易规范化、数据保护常态化发展。