以下为《网安观察》12月刊的发刊词：

开源漏洞风险显现，软件供应链安全挑战巨大

2021年12月，本以为今年的网络安全行业再无重大消息了，只等着安心跨年之时，横空出世影响全球的Apache Log4j2组件“核弹级”安全漏洞让安全工程师们陷入紧张地排查和修复工作中。

阿帕奇(Apache) Log4j2 组件曝出严重安全漏洞，令开源软件的安全问题再受关注。开源软件加速创新，目前已大行其道，主流软件都会使用大量开源代码。但开源软件是否比闭源软件更安全的争论却一直没有终结。

数年前，开源拥趸者就宣称，开源软件相比于商业闭源软件更安全，原因包括开源软件具有代码公开、易获取、可重用的特点，比闭源软件能够获得更多开发者的关注，因而修复漏洞和发布补丁的速度更快，从而针对所遇见的问题提供相应的解决方案，因此，开源软件宣称提供了真正的透明度、更快的安全更新。

从全行业来看，我们需要在国家、企业、用户、检测机构等 4 个层面着手，体系化应对开源软件的安全风险。

（一）国家层面组织开展开源软件源代码检测工程

建议国家相关部门组织有业务基础的科研机构开展开源软件源代码检测工程，并将检测的成果以一种安全可控的方式向商业软件制造商及关键岗位的企业共享，尽可能降低开源软件漏洞对社会各行各业的影响。

（二）企业层面建设开源软件安全治理体系

对于明确需要引入的开源软件，在加强版本控制的基础上，一方面，开展安全风险评估检测；另一方面，持续跟踪相关的漏洞情报，时刻提防软件供应链攻击。

（三）用户侧建立软件安全渗透测试机制

企业在开展软件采购时，应向供应商明确要求提供软件中包含的开源组件，“用了什么，什么版本，软件来源”，并在验收时进行细致核查。

信息安全产品是重要信息系统安全防护的重要组成部分，其自身的安全性将影响重要信息系统的安全。开源软件安全性的争论显然短时无法终结，而其安全性的维护则要依靠开发者与使用者等多方协作来实现。

《网安观察》总顾问 叶绍琛

2021年12月31日