从OSPO 开源项目办公室来思考开源治理问题

2022-04-24 15:59

今许多最重要的业务突破,包括大数据、机器学习、云计算、物联网和流分析,都源于开源软件创新。


通过使用开源软件,企业可以避免从头开始构建所有东西,从而节省时间、金钱和精力,同时还可以从投资中获得更多创新。但越来越多的数据表明,来自开源软件的安全威胁越来越严重。

从OSPO 开源项目办公室来思考开源治理问题.jpg

从国内相关政策来看,鼓励并规范开源技术的创新,促进开源社区的可持续发展,成为了我国科技发展的目标。


而不断完善的关于软件供应链安全、开源技术评估方向的国家标准、行业标准都体现了国家对开源治理工作的要求。既要求企业对内部的开源软件使用情况、依赖情况进行统计分析,又要求企业在遇到来自开源的威胁时快速反映,给予更有效的解决方案。


促使国家紧抓开源治理工作,其背后正是因为很多企业过多依赖开源技术,而没有尽早的对其进行管控,或者说是对开源文化的认识和开源意识不足引起的。而在落实开源治理工作时,SCA工具作为开源安全工具的关键,成为治理工作的必选项。


在国内对开源治理越来越重视的情况下,国外企业对开源治理的工作有哪些可以借鉴的经验呢?这不由得让人想到很多国外大型公司所提倡建立 OSPO (开源项目办公室)




01

什么是OSPO?


OSPO :开源项目办公室(Open Source Program Office),目的是帮助企业在开源软件的使用、支持、参与、开发等方面开展企业级的开源战略,同时也帮助企业了解开源软件的优势和潜在的威胁,以及思考如何平衡各方因素来满足公司的业务目标。


OSPO 的另一个关键角色就是涉及审计许可合规性,以确保企业满足开源软件的各种许可要求。包括:企业如何为开源社区做出贡献,或者将哪些内容释放回社区,以及评估开源技术如何为企业的业务带来价值。




02

OSPO 不是 SCA


从开源治理角度看,SCA(软件成分分析)工具是通过分析软件中包含的特定信息或特征来识别、管理、追踪的技术工具,是定位于开源治理三要素中开源安全工具。


OSPO更像是涵盖了开源治理三要素中:流程体系、人员配置、开源安全工具所有方面的一套解决方案。


在已经建立了OSPO的企业中,OSPO的专业人员帮助内部开发者了解建立SBOM的最佳方案,并且帮助建立SPDX(软件数据包交换)标准。并且OSPO积极与基金会组织联系,例如,2021年,谷歌的OSPO与OpenSSF合作推出的软件供应链完整性框架,「软件产品供应链级别」(SLSA)。


「SLSA,用于确保整个软件供应链中的中间件的完整性。它受到Google内部BAB的启发,该谷歌过去8年已经使用,并且对于所有谷歌的生产工作负载是强制性的。SLSA的目标是提高产业,特别是开源软件的安全状态,以抵御最紧迫的完整性的威胁。」


而企业的OSPO与OpenSSF合作的重要性,在Log4j这种「核弹级」漏洞爆发之后越发凸显。OpenSSF扛起了修补Log4j漏洞重担,协助寻找并修补超过1万项开源软件的漏洞(Alpha-Omega计划)


关于Alpha-Omega计划,也并不只是一个漏洞修复的项目,而是以Log4j这个漏洞为契机,来完善相应的安全技术和响应机制,通过基金会的力量将能力复制到所有相关企业,OSPO 将作为企业的「代言人」,尽快跟进这项计划实施并做出对软件供应链安全更有价值的机制。


03

OSPO 与 SCA 的关系


相比于OSPO的职责,国内企业对开源治理工作的进行,如果不是国家政策和标准的推动,很可能只是增加对 SCA工具来确保企业自身的开源组件安全。但对于整个软件供应链来说,只靠工具来维护是远远不够的。


也许是不同于我国国内的市场环境和以国家政策为驱动力,国外企业或者国内大型企业与行业内基金会的合作来推动相应的标准或政策,是OSPO更适合在「国外土壤」生长的首要因素。


但也正是如此,相信在国内的环境下,企业也会有类似OSPO职能的组织来专门进行开源治理工作,协调企业内各方面资源,跨多部门合作。而SCA 工具集成在企业内部的研发平台、DevSecOps平台上,以自动化方式保障企业使用开源软件的安全合规,与组织密切配合。


如果说SCA工具是开源治理工作的「利剑」,由谁来持剑守护安全,又由谁来指挥开源治理这场「运动」,是企业下一步思考的问题了。


04

开源网安SourceCheck :

开源治理的「利剑」


开源组件安全及合规管理平台(SourceCheck)是开源网安自主研发的软件成分分析 SCA 工具,用于第三方组件安全管控,包括企业组件使用管理、组件使用合规性审计、新漏洞感知预警、开源代码知识产权审计等,支持对源码及发布包检测,是 OWASP Top 10 中“使用含有已知漏洞的组件”安全风险的最佳解决方案。


开源网安 SourceCheck 可实现自动化、无感知地对企业级软件资产信息进行收集与管理,使软件资产分布可视化;并提供软件资产跟踪定位和管控、新漏洞的自检和预警,以及对自研组件和程序代码的许可合规性进行检测。




1. 开源和 OSPO 的好处:

https://linuxfoundation.org/tools/todo-group-why-open-source-matters-to-your-enterprise/


2. 开源项目办公室的演变:

https://linuxfoundation.org/tools/the-evolution-of-the-open-source-program-office-ospo/


3. 新研究揭示了OSPO的演变:

https://mp.weixin.qq.com/s/YVJU1qTFusmx1ZW3ovWclg


4. 从BAB到SLSA——谈Google的软件供应链风险治理:

https://zhuanlan.zhihu.com/p/382721804


5. 什么是开源项目办公室?

https://my.oschina.net/u/4937141/blog/500774