電信運營商開源軟件供應鏈安全治理探討

余建利，姜榮霞，盧 蓉

(中國移動通信集團浙江有限公司，浙江 杭州 310000)

0 引言

開源軟件是一種任何人都可以共享和修改編碼的軟件，開發(fā)者對成果共享和自由軟件的追求促使開源軟件迅猛發(fā)展。目前，開源軟件已在電信運營商等企業(yè)中普遍使用，同時，針對開源軟件供應鏈的攻擊事件頻頻發(fā)生，因此亟需探討電信運營商的開源軟件供應鏈安全治理方法，降低電信運營商安全風險。

根據美國弗雷斯特研究公司的統(tǒng)計數據，全球80%以上的軟件應用了開源軟件，軟件中80%～90%的代碼來自于開源軟件，而在通信行業(yè)中應用開源軟件的應用軟件比例高達95%[1]。

在我國，企業(yè)使用開源軟件也非常普遍，根據奇安信代碼安全實驗室2021 年針對3 354 個國內企業(yè)軟件的分析數據，無一例外，均使用了開源軟件，平均每個軟件使用的開源軟件達127 個[2]。

1 開源軟件供應鏈安全現(xiàn)狀

1.1 開源軟件供應鏈攻擊事件頻發(fā)

近年來，開源軟件供應鏈造成的安全事件頻發(fā)，2020 年8 月，開源Web 框架Apache Struts2 被曝出S2-059 Struts 漏洞，通過OGNL 表達式注入造成遠程代碼執(zhí)行，該漏洞波及范圍極大，據FOFA 系統(tǒng)顯示，僅2019 年全球共3 000 多萬個Struts2 服務存在被攻擊風險[3]；2021 年12 月，Apache Log4j2 開源軟件被曝出Log4Shell 漏洞，攻擊者通過jndi 注入攻擊可遠程執(zhí)行任何代碼，該漏洞對互聯(lián)網影響巨大，超過35 863 個開源軟件Java 組件受影響[4]。

1.2 國內外已展開的研究

目前，國內外行業(yè)已積極開展行動，軟件開發(fā)平臺GitHub 已將其咨詢數據庫在社區(qū)開放，允許任何人提供有關安全漏洞的見解和情報，來幫助提高軟件供應鏈的安全性[5]。國內奇安信[6]、阿里云[7]、綠盟[8]等企業(yè)已開展研究實踐工作。

在學術界，哈力木拉提·巴圖爾[9]對軟件開發(fā)中開源組件的應用及產生的安全問題進行了分析，探討開源組件克隆帶來的安全及版權問題；蘇仟等[10]對開源軟件面臨的安全漏洞、知識產權、開源管制等風險進行分析，通過對開源軟件供應鏈安全現(xiàn)狀和風險進行分析，提出開源軟件開發(fā)安全解決方案，并對開源軟件供應鏈的發(fā)展提出建議；王曉冬[11]系統(tǒng)分析了全球開源模式發(fā)展趨勢，對我國開源軟件產業(yè)存在的開源斷供、代碼安全和知識產權、自主創(chuàng)新風險進行分析，提出推進開源自主、加強模式創(chuàng)新、優(yōu)化發(fā)展環(huán)境的舉措。目前，尚未有已發(fā)表的針對電信運營商開源軟件供應鏈安全的治理實踐研究。

2 電信運營商開源軟件供應鏈面臨的風險

近年來，國內主要電信運營不斷加大了企業(yè)的數字化轉型力度。在通信網絡的數字化轉型中，核心網元系統(tǒng)向云化、軟件定義網絡、網絡自動駕駛等轉變，通信網絡對外開放程度日益增大，大量開源軟件被引入通信網絡系統(tǒng)中。在企業(yè)內部管理的數字化轉型中，以云計算、大數據、人工智能等為代表的新一代IT 技術被廣泛應用，軟件供應商眾多，開源軟件經常是上層應用軟件的基礎。開源軟件也被廣泛應用于電信運營商的BOMDS(Business Supporting System，Operation Supporting System，Management Supporting System，Big Data System，Security System)五域系統(tǒng)中，已滲透到了各個生產和管理環(huán)節(jié)。因此，開源軟件的重要性是不言而喻的。電信運營商面臨著開源軟件安全漏洞導致的網絡安全和數據安全風險、開源軟件斷供造成的系統(tǒng)穩(wěn)定運行風險和開源軟件知識產權可能引發(fā)的合規(guī)經營風險。

2.1 安全漏洞導致的網絡安全和數據安全風險

由于源碼的開放和貢獻者對安全性的疏忽，開源軟件存在的安全漏洞非常普遍，根據國外一些公司的報告，近三分之一的項目軟件中包含了第三方庫安全漏洞。開源軟件使用廣、漏洞信息傳播快、修補難，造成開源軟件的安全漏洞管控比閉源軟件難得多。因此，安全漏洞是開源軟件供應鏈的主要風險。

攻擊者利用開源軟件供應鏈中的安全漏洞進入電信運營商的計算機系統(tǒng)，橫向層層滲透，既可以控制通信網絡運行，也可以植入惡意代碼，竊取內部數據庫的敏感數據，嚴重危害通信基礎設施網絡安全和數據安全。

2.2 開源軟件斷供造成的系統(tǒng)穩(wěn)定運行風險

國內軟件供應商使用的開源軟件主要依托國外開源社區(qū)，很多開源項目和開源許可證起源于美國，容易受經濟和政治等多種因素影響，存在較大的開源產業(yè)鏈斷供風險[8]。例如，RedHat 旗下的開源操作系統(tǒng)CentOS 8 已停止了更新服務，電信運營商的大量公有云和私有云的服務器都需考慮使用更換操作系統(tǒng)，升級和替代成本昂貴。顯然，開源軟件的斷供隱患對電信運營商追求的不間斷運行、大容量、高穩(wěn)定性和高可靠性電信級服務造成了較大的沖擊。

2.3 知識產權引發(fā)的合規(guī)經營風險

盡管開源軟件源代碼開放共享并可自由使用，但使用者也必須遵循相關開源協(xié)議，注重知識產權保護，否則容易陷入許可協(xié)議條款沖突等引發(fā)的知識產權風險。電信運營商使用供應商提供的軟件系統(tǒng)，不論是成品軟件還是現(xiàn)場定制軟件，作為使用者很難甄別供應商引入的開源軟件類型、版本和許可，如果不在合同上有嚴格條款約定，容易引起電信運營商侵權風險，造成不必要的法律訴訟，給企業(yè)帶來經濟和名譽損失，影響企業(yè)的社會形象。

雖然電信運營商面臨的上述三個風險差異性較大，對企業(yè)的危害有所不同，但是開源軟件供應鏈的治理目標和手段是基本一致的。首先，需要全面了解開源軟件的成分、版本、許可協(xié)議、存在的安全漏洞及加固方法，做到心中有數，避免在開源軟件引用時帶來安全風險；其次，要通過IT 技術對已知開源軟件實施庫存管理，提高后續(xù)使用的便捷性；最后，需要與已有的軟件開發(fā)及運維體系無縫結合，納入生產運營流程中。

3 電信運營商開源軟件供應鏈安全治理

電信運營商使用開源軟件數量多、影響廣、安全治理難度大，因此，需要構建比較完善的安全治理框架(如圖1 所示)，圍繞軟件全生命周期開展安全治理。開源軟件治理既需要制度體系和治理工具支持，更需要持續(xù)治理運營，抉擇引入、加固或退出等措施，在加強頂層設計基礎上有序開展開源軟件檢測，構建電信運營商開源軟件供應鏈安全倉庫，實踐開發(fā)安全運維一體化(Development Security Operation，DevSecOps)，在軟件供應鏈引入源頭或應用軟件開發(fā)過程中消除安全漏洞，極大地降低后續(xù)安全漏洞的加固成本。

圖1 開源軟件安全治理框架

3.1 頂層設計

電信運營商內涉及IT(Information Technology)生產系統(tǒng)的部門眾多，開源軟件安全治理不僅是IT 部門的工作內容，而且是整個企業(yè)共同的目標，所以，加強頂層設計是非常有必要的。首先，要制定開源軟件安全治理基本原則和規(guī)范標準，統(tǒng)一治理思想認識和行動規(guī)范；其次，開展開源軟件安全治理管理制度建設，圍繞開源軟件安全檢測、安全加固、開發(fā)安全等發(fā)布相應的管理辦法，為安全治理活動的實施提供全方位的行動指引；再次，要成立開源軟件安全治理辦公室，組建安全治理團隊，做好人力資源保障，統(tǒng)籌推進安全治理各項工作；最后，要設定治理目標，明確治理舉措和獎懲措施，推動企業(yè)形成開源軟件安全治理的文化氛圍，促進安全治理成果的廣泛應用。

3.2 開源軟件檢測

目前，國內外安全廠商提供的開源軟件供應鏈安全檢測方法或工具主要包括軟件成分分析(Software Composition Analysis，SCA)、靜態(tài)應用程序安全測試(Static Application Security Testing，SAST)和動態(tài)應用程序安全測試(Dynamic Application Security Testing，DAST)等。SCA 包含軟件組成分析、依賴分析、特征分析、引用識別、合規(guī)分析等，通過SCA 可有效識別第三方開源軟件資產，理順依賴關系，摸清資產底數，發(fā)現(xiàn)漏洞風險和許可證合規(guī)風險。SAST 結合代碼編碼規(guī)范和代碼審計，幫助開發(fā)人員發(fā)現(xiàn)并修復軟件代碼中的安全、質量和合規(guī)等缺陷。DAST 是一種黑盒安全測試技術，檢測應用程序在生產環(huán)境中運行時的狀態(tài)，并嘗試對其進行安全攻擊，以求發(fā)現(xiàn)運行時安全漏洞。

對電信運營商而言，SCA 是發(fā)現(xiàn)開源軟件安全漏洞的基礎，既能了解使用的開源軟件類型及其隱藏的漏洞及修復方法，也能獲知其許可證相關信息。SAST 消耗的時間較長，但相比滲透測試，對測試人員的要求不高，因此是經常被使用的測試方法。DAST 的優(yōu)點是測試人員無需編程能力，無需了解應用程序內部架構，使用攻擊特征庫驗證就可發(fā)現(xiàn)主要風險問題，但無法直接定位漏洞位置，需專業(yè)安全工程師協(xié)助定位風險代碼。

3.3 開源軟件供應鏈安全倉庫構建

建立電信運營商私服開源軟件安全倉庫(如圖2所示)是安全治理最重要的環(huán)節(jié)之一。進入開源軟件安全倉庫的開源軟件必須經過專家團隊安全檢測，并打上安全標簽。安全標簽包含版本信息、來源渠道、安全漏洞信息、安全補丁信息、許可證信息、上下架時間和推薦使用意見等，確保方便后續(xù)開發(fā)人員下載使用。構建私服開源軟件安全倉庫時，為提高檢測效率，也可參考maven、npm 等業(yè)界軟件倉庫提供的軟件物料清單(Software Bill of Materials，SBOM)。

圖2 開源軟件供應鏈安全倉庫

在軟件開發(fā)過程中，項目編譯需要的第三方依賴包和安全加固包只能從私有開源軟件安全倉庫中獲取，從源頭實施控制。同時，對于供應商交付的成品軟件，也需要提交源代碼，經過SCA 自動掃描檢測，避免問題開源軟件在電信運營商各生產系統(tǒng)中擴散。在發(fā)生安全事件時，依托開源軟件安全倉庫的安全標簽，運維人員可快速升級加固，阻斷風險。通過運維人員持續(xù)運營，開源軟件的安全風險和合規(guī)問題將會慢慢減少，電信運營商使用的開源軟件質量就能得到有效提升。

目前，常見開源軟件許可證主要有 GPL、MIT、BSD 和Apache 等，這些許可證大致分為Copyleft 許可證和寬松許可證，對使用、修改和分發(fā)等場景作出了約束。電信運營商在選擇使用倉庫中的開源軟件時，要關注源許可證的內容及相關條件，避免可能的法律風險。為減少開源軟件斷供風險，電信運營商在選擇使用倉庫中的開源軟件時，應優(yōu)先選擇國內開源社區(qū)上的開源軟件(如開源中國社區(qū))，同時也要積極參與開源公共服務平臺構建，為豐富開源社區(qū)內容貢獻力量。

3.4 DevSecOps 實踐

開源軟件安全治理可能會造成軟件開發(fā)交付的時間拉長，效率降低，提高了交付成本。為平衡交付效率和軟件安全的關系，在安全治理過程中，需大力推進開發(fā)、安全和運維一體化，核心理念是安全左移，在軟件開發(fā)生命周期的較早階段，解決各種安全問題，降低修復成本。具體是在設計、編碼、構建、驗證和發(fā)布運行等不同階段實現(xiàn)多重安全檢查，將SAST、SCA 和DAST 嵌入持續(xù)集成(Continuous Integration，CI) 和持續(xù)交付(Continuous Delivery，CD)中，實現(xiàn)與企業(yè)原有開發(fā)和運維工具的無縫結合，確保開發(fā)、安全和運維的流程閉環(huán)(如圖3 所示)。

圖3 開發(fā)、安全、運維一體化

在設計階段，針對開源軟件，開展軟件成分、依賴關系、漏洞信息和許可信息等梳理工作，杜絕引入存在問題的開源軟件；在編碼階段，應用SAST 對開發(fā)中的代碼進行審查，審查結果及時反饋開發(fā)人員修復；在編譯構建階段，依托開源軟件特征庫，使用SCA 工具對構建代碼包成分檢測分析；在驗證階段，引入DAST 進行運營態(tài)下的安全漏洞測試，彌補靜態(tài)檢測的不足；在發(fā)布上線階段，開展應用系統(tǒng)黑盒滲透，確保生產環(huán)境中沒有可被利用的安全漏洞。

4 開源軟件供應鏈安全治理效果

經過開源軟件供應鏈安全治理，電信運營商獲得最直接效果是遺留至生產系統(tǒng)上的安全漏洞明顯減少，有效降低了安全漏洞加固成本。圖4 是國內某電信運營商線上銷售服務系統(tǒng)在開展開源軟件供應鏈安全治理前、后遺留安全漏洞的情況，各種類型的安全漏洞都有大幅下降。

圖4 安全治理前、后漏洞對比圖

至此，電信運營商已完成現(xiàn)網生產系統(tǒng)的開源軟件檢測，聯(lián)動并參考NVD(美國國家計算機通用漏洞數據庫，National Vulnerability Database)、CNNVD(中國國家信息安全漏洞庫)等漏洞情報，打造了開源軟件供應鏈安全倉庫，形成了常用開源軟件的版本、漏洞、許可證等知識庫，建立了開源軟件與生產系統(tǒng)的關聯(lián)關系及內部預警通告機制，從而有效降低了生產運營的安全風險。但是，開源軟件因代碼開源和使用廣泛等特性，使得開源軟件安全性成為一個全球性問題，僅靠電信運營商一家之力安全治理效果有限。所以，需要在國家行業(yè)主管部門指導下，電信運營商、軟件供應商、安全廠商以及專業(yè)評測機構緊密協(xié)作形成生態(tài)圈，建立通信軟件供應鏈安全社區(qū)，開放供應鏈安全倉庫、安全漏洞情報庫和安全治理經驗，探索軟件供應鏈安全標準，提升我國的開源軟件安全治理水平，促進軟件供應鏈安全生態(tài)良性循環(huán)。

5 結論

隨著信息技術不斷發(fā)展，應用系統(tǒng)的軟件源代碼將越來越多是混源模式，一部分由企業(yè)自主開發(fā)，一部分采用開源軟件代碼，開源軟件的安全問題一直是個繞不過去的問題，對于涉及國計民生的電信、金融等企業(yè)而言，開展開源軟件的安全治理越早綜合風險越小，介入程度越深成本越低。開源軟件安全治理要融入軟件開發(fā)過程，實現(xiàn)業(yè)務應用安全內生，依托安全系統(tǒng)和業(yè)務應用系統(tǒng)的聚合，不斷衍生出新的安全能力，提供開源軟件安全服務，賦能內、外部各研發(fā)團隊，降低企業(yè)整體安全風險。