开源漏洞10年增长18倍 360发起开源软件供应链安全实验室

　　4月25日，在第四届数字中国建设峰会软件开源生态分论坛上，开源软件供应链安全实验室正式启动成立。该实验室是由360集团联合国家工业信息安全发展研究中心、中国科学院软件研究所、北京航空航天大学软件学院、北京大学软件工程国家工程研究中心、开源中国共同发起，将聚焦开源生态治理重点需求和开源软件供应链薄弱环节，加强理论和前沿技术研究，搭建技术支撑平台、开源软件检测认证、成熟度评估等工作。

　　“开源模式改变了传统的软件发展模式，重塑了软件产业格局，是代表未来的协作创新机制，因此，我们更需要重视开源安全问题。”360集团副总裁兼首席安全官杜跃进博士在峰会上发表题为“用开源思路提高软件安全”的主题演讲。据统计，过去10年，开源软件漏洞总数增长了18倍，而2020年已发布的开源软件漏洞数量再创新高，其总数为9658个，相比于2019年，增量超过一半。

　　过去十年，开源漏洞不仅数量倍增，其破坏力也可见一斑。2014年，开源密码库OpenSSL中的 Heartbleed 安全漏洞被发现，这个漏洞影响了50万Web 服务器。而经360检测，国内有不少于30%的网站中招，其中包括网银、网购、网上支付、邮箱、门户等知名网站和服务，而且，无论用户电脑多么安全，只要网站使用了存在漏洞的OpenSSL版本，用户就可能被黑客实时监控到登录账号和密码。据搜索引擎商 Shodan 报告，截至2019年底，该漏洞引起了91000多起脆弱性事件。这正是广为人知的“OpenSSL心脏出血漏洞”，因影响范围之广、破坏性之大，被称为网络安全里程碑事件。

　　伴随数字化进一步发展，开源漏洞的破坏性还将更加严重。“不管是智慧城市，智慧医疗等，都需要用到一些人工智能应用或者服务，而这些应用或者服务的实现是建立在一系列AI框架之上，需要利用AI框架训练模型，并实现最后的推理预测。” 杜跃进博士表示，一旦框架存在问题，既会影响人工智能应用或者服务的开发者，更多的会影响用户，甚至会影响智慧医疗、智慧城市的正常运转。另一方面，随着信创产业的高速发展，开源软件已成为信创生态建设的“基石”，开源软件安全问题已成为信创安全保障的重要环节。

　　因此，如何更加妥善的应对开源带来的风险，是全行业需要思考的问题。360一直致力于开源安全能力建设，一方面，作为国家新一代人工智能安全开放创新平台的依托单位，360已累计发现主流机器学习框架及依赖组件漏洞超过100个，影响范围包括Tensorflow、Caffe、PyTorch等；另一方面，围绕信创安全面临的严峻考验，360积极开展信创安全体系顶层设计，适配信创安全产品，联合统信软件等发起“国密数字证书计划”。

　　但是，仅靠安全产业界现有的力量是远远不够的，杜跃进博士呼吁要用开源精神和开源模式建设信创安全生态，提高信创安全水平，调动民营企业和社会力量的优势，建设信创安全整体能力。为此，2019年10月，360打造了全国第一家开源漏洞响应平台360BugCloud，并首创“自主议价”的全新模式及“第三方专家评审”机制，在奖金设立上，以“四位数起且上不封顶”的致谢金额，表达对每一位致力于维护开源软件及社区平台安全、世界安全的研究员的尊重。

　　业界人士评价称，360BugCloud是一个漏洞众测的平台，可以延伸成漏洞研究人员的社区，再进一步可以衍化成一个用社会化力量帮助用户应对漏洞的社区，对开源安全意义重大。而此次开源软件供应链安全实验室的成立，也将进一步推动建立开放创新生态体系，服务我国开源生态建设。

　　据悉，作为数字中国建设成果峰会的核心分论坛之一，软件开源生态分论坛由工业和信息化部、国家互联网信息办公室主办，国家工业信息安全发展研究中心和福州市人民政府共同承办。