本文分享自天翼云開發者社區《WEB系統安全之開源軟體風險使用評估》,作者:Coding

中國資訊通信研究院（China Academy of Information and Communications Technology，以下簡稱“中國信通院”）在2021年舉辦的“ OSCAR 開源產業大會”上，發布了《開源生態白皮書》，在其中雖然沒有專門闡述開源軟體的風險如何防范，但是在其中說明了開源軟體的風險和挑戰，以及我國在開源治理上的經驗，

在對WEB系統的開源軟體風險進行評估時，需要參考白皮書中的開源治理要求，不管是直接使用開源軟體，或者購買使用了開源技術的商業軟體都需要去考慮開源技術帶來的風險，但是這兩種情況規避風險的責任主體不同，

在風險評估時，按照違約風險、知識產權風險、技術鎖定風險、資料安全風險幾個方面進行分析，

1.違約風險

在WEB系統使用開源軟體時，如果沒有遵守開源軟體的法律要求，可能會面臨法律訴訟、產品召回、聲譽損失等風險，

2.知識產權風險

開源軟體提倡的開源精神內核是公開、自由、創新，為產業發展注入了巨大的活力，但是WEB系統在使用時如果不了解知識產品和開源軟體的開源許可證宣告內容，可能會侵犯開源軟體權利人的知識產權，會給WEB系統所屬的企業或者個人帶來經濟與聲譽損失，

而且多數的開源軟體許可證中都存在免責條款，宣告作者不提供任何擔保責任，如果開源軟體依賴了第三方私人技術，WEB系統因為使用了私人技術遭受訴訟，開源軟體作者不承擔任何責任，

3.技術鎖定風險

一些開源軟體可能存在技術鎖定問題，如果WEB系統過于依賴該軟體，可能導致后續無法剝離，對業務的發展產生不利影響，

4.資料安全風險

開源軟體存在的安全缺陷相比其它軟體多，當前很多企業在使用時沒有完全按照規范，甚至可能無法列出使用的開源軟體清單，類似系統資訊泄露、密碼管理、資源注入、跨站請求偽造、跨站腳本、HTTP 訊息頭注入、SQL 注入、越界訪問、命令注入、記憶體泄漏等安全缺陷都有可能被引入到WEB系統中，

為了降低風險，更好地使用開源軟體，需要按照以下方式對上述的風險進行規避，

1.規避違約風險

嚴格遵守開源軟體許可證的要求，避免違規使用，

2.規避知識產權風險

正確處理知識產權問題，評估開源軟體依賴的技術，加強知識產權意識，

3.規避技術鎖定風險

避免過于依賴單個開源軟體，在選取和使用時要考慮盡可能使用多個開源軟體，避免技術鎖定，

4.規避資料安全風險

定期檢查WEB系統以及系統依賴的開源軟體是否存在安全漏洞，及時修復漏洞，

轉載請註明出處，本文鏈接：https://www.uj5u.com/qita/556320.html

標籤：其他

上一篇：2023年6月28日《積極心理學》識訓交流

下一篇：返回列表