2025 年开源软件安全的下一步是什么?

开源软件在科技界很常见,软件组成分析等工具可以发现依赖关系并保护它们。然而,与专有软件相比,使用开源软件会带来安全挑战。

开源软件安全初创公司 Endor Labs 的首席安全顾问 Chris Hughes 向 TechRepublic 讲述了当今开源软件安全的状况以及明年的发展方向。

休斯说:“组织开始尝试建立一些基础性的东西,例如治理,以了解我们在开源方面使用的内容。” “它位于我们企业的什么位置?哪些应用程序正在运行它?”

休斯在他的工作中定义作为源代码可免费获取的软件,可用于构建其他项目,但可能有一些限制。去年,哈佛商学院发现组织需要投资8.8万亿美元如果没有开源软件,则需要花费技术和劳动力时间来重新创建商业中使用的软件。

Hughes 表示:“据估计,所有应用程序中有 70-90% 都是开源的,其中大约 90% 的代码库完全由开源组成。”

休斯预测 2025 年:

  • 开源软件的广泛采用将伴随着恶意行为者对 OSS 日益复杂的攻击。
  • 组织将继续实施基础的开源软件治理。
  • 更多的公司将使用开源和商业工具来帮助他们开始了解他们的 OSS 消耗。
  • 组织将执行 OSS 的风险知情使用。
  • 企业将继续推动供应商在其产品中使用的 OSS 方面保持透明度。然而,这一过程不会出现广泛的授权。
  • 人工智能将继续以各种方式影响应用程序安全和开源,包括使用人工智能分析代码和修复问题的组织。
  • 攻击者将针对广泛使用的OSS AI库、项目、模型等,对OSS AI社区和商业供应商发起供应链攻击。
  • 人工智能代码治理(组织可以更好地了解人工智能模型)将变得更加普遍。

休斯说,组织越来越想知道他们的开源软件的安全性如何,包括“它的维护情况如何、谁在维护它以及当漏洞发生时他们解决漏洞的速度有多快”。

他强调了 2024 年 4 月发生的袭击事件,其中一系列社会工程尝试威胁开源实用程序,特别是在 XZ Utils 实用程序中打开后门。

休斯说:“这确实有点险恶,因为开源生态系统很大程度上是由无偿志愿者维持的,人们在空闲时间做这件事……而且通常没有补偿、无薪等。” “因此,利用这一点并从中获利是一件非常邪恶的事情,引起了很多人的关注。”

人工智能如何改变开源安全?

2024 年 10 月,开源倡议成立一个定义用于开源人工智能。根据该倡议,开源人工智能有四个关键要素:出于任何目的自由使用、研究、修改和共享系统。

休斯表示,定义开源人工智能非常重要,因为像这样的分发平台的兴起。

“这些人工智能模型,特别是开源模型,被世界各地的许多组织和个人广泛使用,”他说。 “所以我们又回到了问:这里面到底有什么,谁促成了它,以及它在哪里?

只读存储器?是否存在易受攻击的组件?”

休斯表示,与小公司相比,大公司可能有更好的机会与供应商就整个软件供应链进行透明对话。因此,对于小公司来说,无法了解软件中使用的人工智能模型的问题可能呈指数级增长。

SEE:智能家居设备制造商很快就能申请。

CISA鼓励开源软件开发安全

2024年3月,CISA最终确定了安全软件开发自我证明表,旨在供美国联邦政府使用的软件开发人员确认他们使用安全开发实践。

联邦机构也可能要求提供其他表格和证明。在商业方面,组织可以在其采购流程中建立类似的要求。由于组织需要相信供应商会信守诺言,因此仍然涉及信任的因素。但休斯说,在开源实用程序遭受攻击之后,这种对话现在比去年更频繁地发生。

开源软件安全未来的解决方案

Hughes 表示,到 2025 年,仅执行软件构成分析还不够。 IT 专业人员和安全专业人员应该知道,随着软件变得越来越复杂,漏洞的数量也不断增加,“甚至对开发人员来说,要确定需要修复的内容和优先顺序,都成了一种负担”,Hughes 说。

Endor Labs 等公司可以提供有关开源内依赖关系的见解,包括间接或传递依赖。

“就组织和开发团队的负担而言,能够指出诸如可达性和可利用性之类的事情......从合规性角度来看也可能是一个很大的好处,”他说。