中国信通院云计算开源产业联盟：开源安全深度观察报告.pdfVIP

开源安全深度观察报告 云计算开源产业联盟 金融行业开源技术应用社区 OpenSource Cloud Alliance for industry ，OSCAR Finance Open Source ，FINOC 通信行业开源社区 科技制造开源社区 ICT Open Source Community ，ICTOSC Technology Manufacturing Open Source Community ，TMOSC 2022年5月 版权及免责声明 本指南的版权归云计算开源产业联盟所有。本指南所包含的内容、资 料与信息，可能无法反应当前最新的法律发展，仅供您参考之用，并 不构成法律意见或建议。云计算开源产业联盟，本指南的参与单位与 编写人，皆不保证或担保本指南内容、资料与信息的准确性，完整性， 充分性或及时性。云计算开源产业联盟，本指南的参与单位与编写人， 明确不承担因基于本指南的任何内容、资料与信息，而采取的作为或 不作为所产生的一切责任。 编写说明： 牵头单位：中国信息通信研究院 参与单位：中国信息通信研究院、中国建设银行、建信金融科技有限 责任公司、华为技术有限公司、华为云计算技术有限公司、中兴通讯 股份有限公司、中电科拟态安全技术有限公司、深圳开源互联网安全 技术有限公司、新思科技、悬镜安全、北京天融信网络安全技术有限 公司、苏州棱镜七彩信息科技有限公司、国网电商科技有限公司、统 信软件技术有限公司、浩鲸云计算科技股份有限公司 参与人员：李晓明、郭雪、郭贞、李鑫、李佩芳、袁巍、夏伟、牟宁 波、崔锦国、郑志强、项曙明、李响、侯大鹏、耿蕴秋、杨国梁、王 永雷、郑明、贺文轩、李佳雯、张弛、董毅、张荣香、刘美平、杨剑、 梁大功、易焕腾、王媛媛、马大伟、何雪林、龙攀、郑明达、段知 前 言 近些年开源技术已成为新技术领域主流技术路线，开源软件具备 公开可获得的特性，在给全球企业带来便利的同时，开源安全事件层 出不穷，缺乏开源安全研发和治理能力导致开源安全威胁全球信息系 统，本报告旨在从分析开源安全变化趋势、开源安全热门事件分析、 国内外开源安全防范发展现状对比、开源安全防范建议和开源安全发 展展望五个章节全方位开展开源安全深度研究报告撰写，致力于降低 开源安全发生频率，为企业给出开源安全治理指南。 目录 一、开源生态发展迅速，开源成为构建企业信息技术重要底座4 二、开源安全风险严重威胁全球企业信息和财产安全6 2.1 开源安全风险种类复杂7 2.2 开源安全热门事件分析8 （一）开源安全漏洞与后门植入事件频发，威胁全球信息安全8 （二）隐私信息泄露事件威胁财产和人身安全，严重影响企业声誉...10 三、全球开源安全防范措施愈加严格，我国逐步深入探索11 3.1 全球开源安全发展较早，多层面合力应对开源安全威胁11 （一）开源安全防范政策层层加码11 （二）开源安全组织探索开源社区安全保障12 （三）开源社区致力构建安全开发自动化体系15 （四）头部科技公司开源安全防范体系建立较早16 3.2 我国政府、企业和个人三管齐下应对开源安全风险17 （一）多政策提及开源安全防范要求17 （二）开源安全组织处于探索阶段17 （三）开源社区安全开发意识有待加强 18 （四）出海企业开源安全防范体系落地较早19 四、开源安全防范需兼顾上游开源社区与下游开源用户20 4.1 开源社区需建立安全开发规范20 4.2 用户企业需建立开源安全问题修复措施22 （一）安全漏洞和后门植入需按照轻重缓急应修尽修22 （二）隐私信息泄露防范需做好出口管理25 五、开源安全发展展望25 附录、企业级开源安全治理实践案例27 - 1 - 华为开源安全实践27 中兴通讯开源安全实践29