《赛迪译丛：2024给CISA主任的报告：开源安全报告（28页）.pdf》由会员分享，可在线阅读，更多相关《赛迪译丛：2024给CISA主任的报告：开源安全报告（28页）.pdf（28页珍藏版）》请在三个皮匠报告上搜索。

1、-1-2025 年年 2 月月 10 日第日第4期总第期总第 679 期期给给CISA主任的报告：开源安全主任的报告：开源安全【译者按】【译者按】2024 年 10 月，美国网络安全和基础设施安全局（CISA）网络安全咨询委员会（CSAC）下设的技术咨询委员会（TAC）小组委员会发布给 CISA 主任的报告：开源安全。报告认为，开源软件已在政府部门、关键基础设施和公共生活中得到广泛应用，其漏洞将对下游的行业领域产生广泛影响，各国政府均已高度重视开源安全。报告围绕开源软件安全消费规范、安全消费规范鼓励措施、引导商业公司承担开源安全责任以及维护人工智能开源安全四个问题，分别开展研究并提出建议。赛迪

2、智库信息化与软件产业研究所对报告进行了编译，期望对我国有关部门有所帮助。【关键词】开源软件 开源安全 安全消费规范 商业公司 人工智能【关键词】开源软件 开源安全 安全消费规范 商业公司 人工智能-2-一、前言一、前言美国网络安全和基础设施安全局（CISA）网络安全咨询委员会（CSAC）于 2021 年 6 月正式成立。该委员会是一个独立的咨询机构，围绕 CISA 网络安全使命相关的政策、计划、规划和培训的制定、完善和实施，定期向 CISA 提供独立的、战略性的、可操作的建议、咨询及报告。CISA 网络安全咨询委员会下设 5个小组委员会，其中技术咨询委员会（TAC）小组委员会主要提供技术相关的

3、咨询，如内存安全、漏洞挖掘和披露等。本报告是 TAC 小组委员会围绕“开源安全”主题的最新报告。近年来，与软件漏洞相关的安全事件持续出现，既涉及商业软件也涉及开源软件，其中不乏高影响和高知名度的漏洞。日益复杂的软件供应链和软件依赖关系已成为犯罪组织和一些国家的常见攻击目标，软件安全问题已经引起全世界的关注。随着大国竞争升级，以开源软件生态系统为目标的情况预计仍会增加。在这种环境下，倘若忽视软件依赖性安全性的现状，将难以提供抵御这些威胁因素以及让公众从开源软件获益所必需的弹性、保障或稳定性。CISA 于 2023 年启动“设计安全”计划，以提高商业软件的安全性。“设计安全”计划旨在提高认识、提供

4、指导并建立自愿标准，将软件缺陷视为不遵循安全设计原则的可预测结果，而非-3-现代软件开发生命周期的不可避免的结果。小组委员会认为这是一个可喜的转变。相比而言，提高商业软件安全性的途径较为简单，因为它对所有“正常的”市场和法规激励，如市场份额和责任做出了反应。而针对开源软件安全性的保障更为复杂。开源软件处于一个由社区项目、个人贡献者和商业开发者共同驱动的环境中，通常只支持他们的产品所依赖的开源软件组件。开源软件的许可证协议中普遍包括保证免责声明条款，规定开源软件“按原样”提供，即贡献者和许可方不对软件的质量、性能或适用性作任何保证。资金不足的开源软件非营利基金会可能难以支付开发费用，“免费增值”

5、商业模式不足以满足需求。例如，F5 公司旗下广受欢迎的网络服务器 Nginx 不仅作为企业产品出售，同时还提供免费的社区版本。许多创新来自社区，但只有在企业版中才能得到整合和支持。“免费版企业版”的分层结构是增加市场份额和产品曝光度的常用方法。但是，如果安全改进仅在高级版或企业版中可用，人们可能会出于节省成本考虑而使用安全性较低的版本，从而损害生态的整体安全性。本报告围绕 CISA 关心的四个问题分别开展研究并提出相应建议。一是开源软件的安全消费应遵守的规范，包括与上游社区最新版本保持一致、用户对软件的修改反馈给上游社区等。二是-4-从政府角度，鼓励安全消费规范的具体措施，如采购、感知、信息交

6、换所、集中管理等。三是引导商业公司承担更多开源软件安全责任，包括采用管理员模式、推行标准化自动化模板等。四是人工智能系统的开源安全和风险防范，政府使用人工智能大模型应格外谨慎，并应从透明度、可审计性、可重现性等层面衡量并维护人工智能安全。二、研究背景：开源软件二、研究背景：开源软件在过去的几十年里，开源软件得到广泛使用，重要性持续增加，现在已经融入到社会各个方面，创造了大约 8 万亿美元的总价值。开源软件不仅在计算和在线服务中发挥重要作用，而且在电信、科学、工业控制系统（ICS）、操作技术（OT）和各级政府中发挥着关键作用。根据软件供应链状况报告，大约 8090%的软件是开源的，或者包含开源组