在日常软件下载使用中，虽然，我们很少去关注开源软件的安全性，但我们却不能忽视开源软件的安全漏洞。

开源软件在实际的流通过程中，各个环节间缺乏系统的安全审查机制，部分企业内部也缺少必要的安全检测要求和规范，导致一旦底层开源组件出现安全漏洞，这些问题组件将传染给哪些商业产品、影响哪些业务领域，没人能给出一个准确的答案。

那么对于这些安全风险，我们可以采取哪些措施？

一、国家层面组织开展开源软件源代码检测工程

随着开源趋势的不可逆以及开源软件在商业软件中占的比重越来越高，开源软件俨然已经成为软件开发的关键基础设施，因此开源软件的安全问题应该上升到国家安全的角度来对待。

建议国家相关部门组织有业务基础的科研机构开展开源软件源代码检测工程，并将检测的成果以一种安全可控的方式向商业软件制造商及关键岗位的企业共享，尽可能降低开源软件漏洞对社会各行各业的影响。

二、企业层面建设开源软件安全治理体系

企业应该建立开源软件安全治理体系，明确开源软件使用的安全准入条件，从软件开发阶段就建立开源软件使用的统一策略，实现开源软件引入和使用的标准化、规范化和合规化。

对于明确需要引入的开源软件，在加强版本控制的基础上，一方面开展安全风险评估检测；另一方面持续跟踪相关的漏洞情报，时刻提防软件供应链攻击。

三、用户侧建立软件安全渗透测试机制

从已经发生的软件供应链攻击案例来看，非常有必要开展软件上线前的渗透检测。通过采用良性的攻防渗透的方法、思路和手段，及时发现软件系统中存在的安全漏洞和隐患，降低新软件上线给系统带来的风险。

企业在开展软件采购时，应向供应商明确要求提供软件中包含的开源组件，“用了什么，什么版本，软件来源”，并在验收时进行细致核查。

四、检测机构加强对安全产品中开源组件的检测

信息安全产品是重要信息系统安全防护的重要组成部分，其自身的安全性将影响重要信息系统的安全。检测机构应要求软件供应商准确提供产品中包含的开源组件等信息，并针对开源组件开展专门的安全检测。这样一旦某个开源软件被爆出重大的安全漏洞，产品检测机构可以及时迅速地发布安全预警，并要求相关产品厂商尽快开展修复，甚至对修补不力的产品予以禁用处置。

结语

几乎每个商业软件都使用开源软件节省开发时间、降低公司成本、避免重复造车轮，但软件公司对这些代码的品质和来源却未必都给予了足够的关注和重视。

开源软件已经成为网络空间的重要基础设施，应积极开展开源软件源代码检测工程，推动建设开源软件安全治理体系，形成软件安全渗透测试的长效机制。

——摘录自《保密科学技术》杂志，有改动。以上内容仅用于学习参考，非商业用途，如有侵权请联系删除。