WEB系統安全之開源軟件風險使用評估

本文分享自天翼云開發者社區《WEB系統安全之開源軟件風險使用評估》,作者:Coding

https://www.ctyun.cn/developer/article/430900080308293

中國信息通信研究院（China Academy of Information and Communications Technology，以下簡稱“中國信通院”）在2021年舉辦的“ OSCAR 開源產業大會”上，發布了《開源生態白皮書》，在其中雖然沒有專門闡述開源軟件的風險如何防范，但是在其中說明了開源軟件的風險和挑戰，以及我國在開源治理上的經驗。

在對WEB系統的開源軟件風險進行評估時，需要參考白皮書中的開源治理要求。不管是直接使用開源軟件，或者購買使用了開源技術的商業軟件都需要去考慮開源技術帶來的風險，但是這兩種情況規避風險的責任主體不同。

在風險評估時，按照違約風險、知識產權風險、技術鎖定風險、數據安全風險幾個方面進行分析。

1.違約風險

在WEB系統使用開源軟件時，如果沒有遵守開源軟件的法律要求，可能會面臨法律訴訟、產品召回、聲譽損失等風險。

2.知識產權風險

開源軟件提倡的開源精神內核是公開、自由、創新，為產業發展注入了巨大的活力。但是WEB系統在使用時如果不了解知識產品和開源軟件的開源許可證聲明內容，可能會侵犯開源軟件權利人的知識產權，會給WEB系統所屬的企業或者個人帶來經濟與聲譽損失。

而且多數的開源軟件許可證中都存在免責條款，聲明作者不提供任何擔保責任。如果開源軟件依賴了第三方私人技術，WEB系統因為使用了私人技術遭受訴訟，開源軟件作者不承擔任何責任。

3.技術鎖定風險

一些開源軟件可能存在技術鎖定問題，如果WEB系統過于依賴該軟件，可能導致后續無法剝離，對業務的發展產生不利影響。

4.數據安全風險

開源軟件存在的安全缺陷相比其它軟件多，當前很多企業在使用時沒有完全按照規范，甚至可能無法列出使用的開源軟件清單。類似系統信息泄露、密碼管理、資源注入、跨站請求偽造、跨站腳本、HTTP 消息頭注入、SQL 注入、越界訪問、命令注入、內存泄漏等安全缺陷都有可能被引入到WEB系統中。

為了降低風險，更好地使用開源軟件，需要按照以下方式對上述的風險進行規避。

1.規避違約風險

嚴格遵守開源軟件許可證的要求，避免違規使用。

2.規避知識產權風險

正確處理知識產權問題，評估開源軟件依賴的技術，加強知識產權意識。

3.規避技術鎖定風險

避免過于依賴單個開源軟件，在選取和使用時要考慮盡可能使用多個開源軟件，避免技術鎖定。

4.規避數據安全風險

定期檢查WEB系統以及系統依賴的開源軟件是否存在安全漏洞，及時修復漏洞。