中国信通院：2022开源安全深度观察报告（34页）.pdf

1、 开源安全深度观察报告开源安全深度观察报告 云计算开源产业联盟 金融行业开源技术应用社区 OpenSource Cloud Alliance for industry，OSCAR Finance Open Source，FINOC 通信行业开源社区 科技制造开源社区 ICT Open Source Community， ICTOSC Technology Manufacturing Open Source Community， TMOSC 2022年5月 版权及版权及免责免责声明声明 本指南的本指南的版权归版权归云计算开源产业联盟所有。 本指南所包含的云计算开源产业联盟所有。 本指南所包含的内

2、容内容、 资资料料与与信息信息，可，可能无法反应当前最新的法律发展能无法反应当前最新的法律发展，仅供您参考仅供您参考之用，并之用，并不构成法律意见或建议不构成法律意见或建议。 云计算开源产业联盟，。 云计算开源产业联盟， 本指南的参与单位本指南的参与单位与与编写人， 皆编写人， 皆不保证或担保本指南内容、不保证或担保本指南内容、 资料资料与与信息信息的准确性， 完整性，的准确性， 完整性，充分性或及时性。 云计算开源产业联盟，充分性或及时性。 云计算开源产业联盟， 本指南的参与单位本指南的参与单位与编写人，与编写人，明确不承担因基于本明确不承担因基于本指南指南的任何内容、的任何内容、 资料资料

3、与与信息信息， 而采取的， 而采取的作为或作为或不不作为所产生的一切责任。作为所产生的一切责任。 编写说明：编写说明： 牵头单位：中国信息通信研究院 参与单位：中国信息通信研究院、中国建设银行、建信金融科技有限责任公司、华为技术有限公司、华为云计算技术有限公司、中兴通讯股份有限公司、中电科拟态安全技术有限公司、深圳开源互联网安全技术有限公司、新思科技、悬镜安全、北京天融信网络安全技术有限公司、苏州棱镜七彩信息科技有限公司、国网电商科技有限公司、统信软件技术有限公司、浩鲸云计算科技股份有限公司 参与人员：李晓明、郭雪、郭贞、李鑫、李佩芳、袁巍、夏伟、牟宁波、崔锦国、郑志强、项曙明、李响、侯大鹏、

4、耿蕴秋、杨国梁、王 永雷、郑明、贺文轩、李佳雯、张弛、董毅、张荣香、刘美平、杨剑、梁大功、易焕腾、王媛媛、马大伟、何雪林、龙攀、郑明达、段知 前前 言言 近些年开源技术已成为新技术领域主流技术路线， 开源软件具备公开可获得的特性，在给全球企业带来便利的同时，开源安全事件层出不穷， 缺乏开源安全研发和治理能力导致开源安全威胁全球信息系统，本报告旨在从分析开源安全变化趋势、开源安全热门事件分析、国内外开源安全防范发展现状对比、 开源安全防范建议和开源安全发展展望五个章节全方位开展开源安全深度研究报告撰写， 致力于降低开源安全发生频率，为企业给出开源安全治理指南。 - 1 - 目录 一、开源生态发展

5、迅速，开源成为构建企业信息技术重要底座 . 4 二、开源安全风险严重威胁全球企业信息和财产安全 . 6 2.1 开源安全风险种类复杂 . 7 2.2 开源安全热门事件分析 . 8 （一）开源安全漏洞与后门植入事件频发，威胁全球信息安全 . 8 （二）隐私信息泄露事件威胁财产和人身安全，严重影响企业声誉 . 10 三、全球开源安全防范措施愈加严格，我国逐步深入探索 . 11 3.1 全球开源安全发展较早，多层面合力应对开源安全威胁 . 11 （一）开源安全防范政策层层加码 . 11 （二）开源安全组织探索开源社区安全保障 . 12 （三）开源社区致力构建安全开发自动化体系 . 15 （四）头部科

6、技公司开源安全防范体系建立较早 . 16 3.2 我国政府、企业和个人三管齐下应对开源安全风险 . 17 （一）多政策提及开源安全防范要求 . 17 （二）开源安全组织处于探索阶段 . 17 （三）开源社区安全开发意识有待加强 . 18 （四）出海企业开源安全防范体系落地较早 . 19 四、开源安全防范需兼顾上游开源社区与下游开源用户 . 20 4.1 开源社区需建立安全开发规范 . 20 4.2 用户企业需建立开源安全问题修复措施 . 22 （一）安全漏洞和后门植入需按照轻重缓急应修尽修 . 22 （二）隐私信息泄露防范需做好出口管理 . 25 五、开源安全发展展望 . 25 附录、企业级开