凭藉自动检测机制 清理开源安全漏洞

Black Duck Software亚太区总经理陈泽辉(Keith Chan)。

现今多数企业的软件开发流程，实与过去大不相同，愈来愈懂得透过网络查找自由开源授权软件元件(FOSS)，并插入于程序码当中；不仅如此，即使企业将程序开发委外，外包厂商往往也会采用FOSS，更有甚者，企业使用的第三方商用软件，里头亦有FOSS。

总之，开源代码已透过各种途径，大量充斥于企业应用环境，其间是否潜藏安全风险，实为重大课题。

Black Duck Software亚太区总经理陈泽辉(Keith Chan)表示，根据统计，全球排名前2,000大企业，采用开源软件的比例直逼40%；值得一提的，这些采用FOSS的大型企业机构，并非将此用于聊备一格的非关键型应用，而有高达66%比例用在诸如财务等关键系统。在此前提下，企业基于安全管理角度，着实需要建立一套有效机制，藉以管控伴随FOSS而来的所有潜在风险。

开源软件如两面刃  有好处却也潜藏危机

为何愈来愈多大型企业机构，对开源软件趋之若鹜？道理很简单，因为此举蕴含了诸多好处，最显而见的诱因有三，一是弹性，只因为只要修改、混合或重复运用这些FOSS，便可随时灵活满足各种应用开发需求；二是创新，众所周知，开源社群充满了一大群饶富创意的好手，也因而繁衍众多极具创新意涵的作品，比起市售商用软件套件，可说更具前瞻性；三是成本优化，企业将本求利，总是希望运用最少的支出，换取最大的报酬，而使用FOSS所需付出的金钱代价，远远低于采购商用软件套件，甚至其成本趋近于可以略而不计的轻微地步。

「在享受好处的同时，企业亦应留意个中风险，」陈泽辉说，归纳开源软件可能带来的危机，首先是技术风险，企业所选用的FOSS版本，是否具备成熟可用的良好品质，务须审慎确认；其次是安全风险，回顾2014年，肇因于OpenSSL的Heartbleed心淌血漏洞，可谓震惊各界，只因黑客可据此在3~4小时内轻易窃取害企业的使用者帐号与口令，严重性可见一斑，面对诸如此类的危机，企业理应有所防范。

三是法规风险，企业必须体认到，不同的开源软件，往往适用于不同的授权规范，例如被广泛采用的GPL，便具有较高的授权拘束性，用户在散布时需遵循GPL条款，否则就有可能招致侵权纷扰，而企业在使用FOSS前，是否理解其所适用的授权规范？即使刻意回避开GPL，然而该FOSS底层是否仍挟带若干必须适用GPL的元件？凡此种种，都有必要一探究竟。

陈泽辉进一步阐述上述风险的严重性。以安全风险为例，如同2014年4月期间，甲骨文(Oracle)一口气发布了多达104项安全修补程序，范围遍及Java、Fusion Middleware与MySQL，倘若企业连自己使用了哪些FOSS都浑然不知，那麽究竟哪些部门的哪几支程序，应不应该立即进行修补，恐陷于无从得知的窘境，如果此时处理不当，则相关的安全漏洞，便可能一直如影随形地留存于企业内部的应用环境，后果不堪设想。

务须建立材料清单  以利自动检测漏洞

但问题来了，企业纵使知道开源安全性的严重性，也认为需要善加管控，但真的要做好此事，其实并不容易。首先，开源软件的安全漏洞通知机制，往往不甚友善，使用者必须自己随时主动查看，对于企业应用程序开发团队，无疑是一大挑战。

其次，在许多情况下，单一FOSS项目可能被套用在许多应用程序，有一个实际案例，某Java版本曾传出漏洞信息，但一家拥有逾6,000位开发人员的银行，根本不知行内有哪些应用程序内含此版Java，若欲追根究底，起码得耗时5年以上才能清查完毕，彷佛大海捞针，但一些面向广大顾客的应用服务，容许这般漫长等待？

陈泽辉指出，前述那家银行，历经当时震撼教育，便亟思建立一套自动化管理机制，藉以妥善因应日后层出不穷的漏洞信息，意即不管哪些FOSS出现任何弱点，该行都能在第一时间确知自己是否受到影响，如果是的话，也能立即掌握影响范围何在，而无需在累积长达十余年的大型软件仓库中耗时查找。

着眼于此，Black Duck设计出开源安全性漏洞的自动检测与修复方案，并协助用户建立一目了然的FOSS材料清单，以便于迅速判断其间是否存在安全漏洞或侵犯法规等种种风险。

此套方案名为「Black Duck Hub」，系依据软件开发流程作为端对端的设计架构，使企业用户能透过选择、扫描、审核、存放、安全、交付等6道严谨程序，逐一过滤开源安全性，只要发现有安全疑虑，便能加以弃用或修复，如果经证实并无安全隐忧，即可存入数据库，以利日后重复使用。

对此陈泽辉补充，Black Duck拥有源自逾6,000网站、超过2,400项不同软件授权的Knowledge Base，便于用户预先筛选优良的开源语言或Container等工具，接着动用Black Duck OSS Logistics扫描机制，确认选用标的之源头已否历经任何窜改程序，及是否挟带隐藏代码，经验证无误便可归档于白名单以利取用，搭配日后持续性监控，过滤这些白名单是否变调，避免其开发流程或环境出现危机。