新基建推动信创产业发展 开源软件亟需重视“代码安全”

2019年，一个全新的市场——信创产业开始进入了大家的视野；进入2020年，在复工复产、“新基建”全面启动的背景下，各地信创项目开始大面积铺开，信创产业也随之出现了发展机遇。与此同时，和信创产业相关的生态体系，包括开源软件、业务应用、安全防护等，也成为业界关注的焦点。

信创产业“大厦” 离不开开源软件的“砖头瓦块”

信创产业，即信息技术应用创新产业。在过去，中国IT底层标准、架构、产品、生态大多数都由美国IT巨头来制定，由此存在诸多安全风险。因此，中国要逐步建立基于自己的IT底层架构和标准，形成自有开放生态。基于自有IT底层架构和标准建立起来的IT产业生态便是信创产业的主要内涵。

权威机构指出,2020年是信创产业全面推广的起点，未来三到五年，信创产业将迎来黄金发展期。我国国产基础软硬件从“不可用”发展为“可用”，并正在向“好用”演变。信创产业作为“新基建”的重要内容，将成为拉动经济发展的重要抓手之一，政府投入预计将会得到充分保证。

很多人对信创产业经常谈到的自主创新有一种误解，认为自主创新就意味着每行代码都要自己原创，这样才确保有自主产权，这一方面很不现实，第二也不符合开源开放、共享的精神。

拿浏览器来说，Chromium浏览器代码规模有2400万行，一个Windows操作系统大约5000万行左右，所以做一个浏览器等于小半个操作系统。而开发Windows操作系统的成本一般在百亿美元级别，甚至有人用修建胡夫金字塔，来比喻开发Windows的庞大工程量。

“可以说，现代软件大多数是被‘组装’出来的，不是被‘开发’出来的”，奇安信代码安全事业部总经理黄永刚表示。事实上，现代软件开发越来越像工业生产和制造，原材料就是开源软件，加上自己写的业务代码，最后“组装”出一个软件系统。

黄永刚看来，开源软件已经成为构建网络空间最基础的“砖头瓦块”，无处不在。“开源软件已经成为信创生态系统开发和建设的核心基础设施，开源软件安全问题应该上升到基础设施安全的高度来对待。”

从现有信创生态来看，从操作系统，到数据库、中间件，以及办公软件等，都依赖于开源生态。放眼全球，开源软件已经成为软件世界的重要组成部分。根据 Gartner 统计，99% 的组织在其 IT 系统中使用了开源软件。

每1000行代码有 14 个安全缺陷 开源软件安全不容忽视

今年 3 月，安全公司 WhiteSource 发布了一份《开源安全年度报告》。报告表明，2019 年，公开披露的开源安全漏洞数量再创新高，总数为 6100 个。与 2018 年相比，开源安全漏洞的数量增长近 50%。这份报告表明，开源软件的安全问题非常严重。

2014 年，开源软件 OpenSSL Heartbleed（心脏出血）漏洞席卷全球，全球超过三分之二的网站“心脏出血”，大量私钥和其他加密信息处于暴露危险下。2017 年，美国征信巨头 Equifax 发生数据泄露，涉及近 1.45 亿用户。据悉，这起数据泄露事件的原因是黑客利用 Struts 开源软件的漏洞实施攻击。

以封闭、安全著称的苹果公司，也未能独善其身。2015年，由于iOS开发者使用了非官方渠道、带后门的Xcode编辑器，导致AppStore上海量应用感染了XcodeGhost病毒，难以估量的用户个人数据被传到黑客服务器，其中包括微信、高德、滴滴、花椒、58同城、百度音乐、网易云音乐、12306、同花顺、南方航空、工行融e联等主流APP，首批感染病毒APP数量近千，至少1亿用户受到影响。专家认为，工业化时代，一个后门有可能致国内的主流APP全部中招，其危害不言而喻。

无论是 OpenSSL“心脏出血”漏洞，还是 Equifax 数据泄露，都是因为开源软件出现安全问题。据悉，通过开源项目检测计划，奇安信代码安全团队发现开源软件的安全问题确实非常严重。相关数据分析和统计显示，开源软件的代码安全缺陷密度是 14.22/KLOC，高危安全缺陷密度为 0.72/KLOC。换句话说，每 1000 行开源软件代码中就有 14 个安全缺陷，每 1400 行开源软件代码中就有 1 个高危安全缺陷。

除了代码存在安全缺陷之外，开源软件之间由于存在关联依赖，加剧了开源软件的漏洞管理难度。“开源软件之间的依赖和调用关系非常复杂，其漏洞的放大作用非常显著，简言之，一个开源软件出现漏洞，会导致依赖它的其他开源软件受到影响，而且层层关联依赖，这就导致非常隐蔽和复杂的攻击面。”黄永刚谈到。

因此，对开源组件的梳理和漏洞分析，一定需要系统化的方法和自动化的工具，才能做到可管理、可持续，不留死角。

代码安全 为信创生态的每块“砖瓦”加固

千里之堤，毁于蚁穴，如果地基是沙土地，原材料隐患迭出，最终建成的大厦必然是“豆腐渣”工程。业内人士认为，随着信创系统开发过程中开源软件的使用越来越多，开源软件已经成为了软件开发的核心基础设施，开源软件的安全问题，应该上升到基础设施安全的高度来对待。

奇安信安全专家指出，代码是软件的原始形态，软件代码是构建信创系统的基础组件，软件代码中安全漏洞和未声明功能（后门）的存在是安全事件频繁发生的根源。忽视软件代码自身的安全性，仅仅依靠外围的防护、问题产生后的修补等方法，舍本逐末，必然事倍功半。因此，只有通过管理和技术手段保障了软件代码自身的安全性，再辅以各种安全防护手段，才是解决当前安全问题的根本解决之道。

据悉，奇安信代码卫士（简称：代码卫士）是一套静态应用程序安全测试系统，采用源代码静态分析技术，在不改变企业现有开发测试流程的前提下，与软件版本管理、持续集成、缺陷跟踪等系统进行集成，将源代码安全缺陷检测和源代码安全合规检测融入到企业开发测试流程中，帮助信创企业以最小代价建立代码安全保障体系并落地实施，构筑信息系统的“内建安全”。

同样，针对开源软件应用的现状及安全风险，奇安信发布了开源卫士产品。它是一款集开源软件识别和安全管控于一体的软件成分分析系统，通过云端分析中心在全球范围内获取开源软件信息和漏洞情报，利用自主研发的开源软件分析引擎为用户提供开源软件识别、开源软件漏洞分析及开源软件漏洞情报获取等功能，帮助行业用户掌握信息系统中的开源组件资产和漏洞情报，降低由开源软件带来的安全风险，保障交付更安全的软件。

为了给信创产业提供良好的开源环境，近日，奇安信决定为信创生态战略合作伙伴，免费提供开源组件安全检测服务，服务时间持续至5月30日。此举推出之后，很快在信创领域引发了非常好的反响。

奇安信代码安全实验室具有业内领先的漏洞挖掘和研究能力，持续支撑国家级漏洞平台的技术工作，多次向国家信息安全漏洞库（CNNVD）和国家信息安全漏洞共享平台（CNVD）报送原创通用型漏洞信息；帮助微软、Cisco、Juniper、Adobe、苹果、Vmware、阿里云、华为、施耐德等大型厂商的产品发现了100多个安全漏洞。不久前，奇安信代码安全实验室同时获得了国内前两大软件巨头微软和Oracle的官方致谢和奖金，其中帮微软发现了五个“高危”漏洞，帮助Oracle发现1个“高危”漏洞，并第一时间协助其修复漏洞。

目前，代码安全系列产品全面覆盖信创产业多个核心场景，助力推动信创产业发展，满足“新基建”中安全的要求。奇安信建议，信创生态在发展之初，代码安全就需要同步规划进去，从根源处实现信创架构安全化、可信化，确保整个信创生态系统更加安全可靠。