2021云原生大会：开源软件现状、风险与治理解析

《开源软件的现状与治理》是一份关于2021年云原生大会的主题演讲，由霍光，华北区技术负责人，就开源软件的广泛应用及其带来的风险进行深入探讨。演讲内容分为两部分。 第一部分分析了当前软件开发的特征，强调了开源软件在其中的重要性。现代软件开发倾向于模块化和低代码编程，大量使用开源组件，如Java（3.7 million组件）、.NET（1.6 million）、容器（2.2 million）、JavaScript（800,000包）和Python（1.2 million）。这些组件的广泛使用得益于自动化软件开发工具的推动，2018年Java软件下载量达到146 billion，JavaScript每周下载量为10 billion，.NET下载量在2019年达到16 billion。 然而，这种便利也伴随着风险。开源软件的特点使得所有权和使用权分离，这意味着开源软件的维护和安全责任主要落在用户而非原始开发者身上。这导致黑客可能利用开源软件中的漏洞更容易入侵组织机构，据统计，47%的新版本发布后存在漏洞，top 5%的修复时间仅需21天，但平均修复时间为326天，且漏洞报告和通知的问题普遍存在。 第二部分深入剖析了开源软件的风险。首先，安全态势堪忧，由于开源软件的开源特性，黑客可以轻易找到漏洞，且修复速度缓慢。据OWASP组件依赖检测创始人指出，只有25%的组织会将漏洞告知用户，仅有10%的漏洞会被报告到CVE（Common Vulnerabilities and Exposures，通用漏洞及暴露列表）。此外，开源软件的许可证问题也不容忽视，67%的代码库存在许可证冲突，这可能引发法律和合规性挑战。 演讲者霍光提醒听众，尽管开源软件在提高开发效率和降低成本方面具有显著优势，但在享受其带来的便利时，组织机构必须充分认识到与之相关的安全风险，采取有效的风险管理措施，包括及时更新、漏洞扫描和妥善处理许可证问题，以确保系统的安全性。