企业中开源软件 (OSS) 的爆炸式增长促使人们重新审视保护对现代企业至关重要的技术的工具和流程。
由于 Log4j 等漏洞以及源于乌克兰战争的全球冲突,开源安全如今已成为人们关注的焦点。近年来,我们见证了软件中的微小漏洞如何被犯罪企业利用,并通过勒索软件获得巨额利润。如今,开源软件几乎支持每一段软件或技术,维护其安全性至关重要。
安全是一项不断发展的任务,因此,在不影响效率的情况下维护安全,需要有合适的工具和流程。为了迎接网络安全意识月,我们希望重点介绍数据科学家采用的各种方法来保护开源管道,以及 Anaconda 如何为开源 Python 开发提供无缝且安全的平台。
什么是开源安全?
开源安全是指与开源软件相关的流程、工具、角色和风险。作为社区和志愿者驱动的软件,开源软件在组织内释放创新的能力无与伦比,并已成为各行各业的支柱。从在应用程序中使用开源软件的开发者到利用该技术简化工作的非技术用户,开源软件无处不在。由于开源软件可以以如此多的方式嵌入到组织中,因此管理和保护此类软件是现代 IT 部门的关键职能。
开源软件与商业软件
开源软件几乎渗透到各个行业的原因很简单:从长远来看,在实现创新和降低软件成本方面,它没有更好的替代方案。由于开源软件由社区驱动和维护,因此任何错误或问题都会公开识别和解决,而不是隐藏在黑盒中。这通常意味着补丁和修复会快速部署到最广泛使用的开源工具中。由于整个开发者社区支持项目,因此组织无需投入大量时间维护软件,可以将这些资源重新分配到更高效的用途上。
尽管如此,许多企业都是建立在商业软件之上的,因此商业软件显然也有一些优势。专为解决特定行业需求或问题的商业软件对于组织而言可能是值得投资的,而不是自行构建软件。此外,商业软件供应商有动力在用户遇到问题时提供专业级别的支持,而社区驱动的论坛可能无法立即提供解决方案。
在 Anaconda,我们为个人用户免费提供 Anaconda 发行版,并投资了多个可供所有人使用的开源 Python 语言。除了我们的免费和开源软件之外,我们的商业许可软件旨在为开源 Python 编程提供专业且安全的平台。
2022 年数据科学现状报告中关于开源安全的见解
今年,Anaconda 对数千名数据科学学生、专业人士和学者进行了调查,以更好地了解推动开源和 Python 采用的趋势。在安全性方面,我们发现参与 OSS 创建、维护和发展的人数比以往任何时候都多。这可能会给系统带来风险,但也可能被视为一种积极因素,因为它允许更快速地发现和修复漏洞。
当被问及使用 OSS 的组织如何确保其供应链安全并符合企业安全标准时,40.39% 的受访者表示他们使用漏洞和安全扫描软件,32.76% 创建和使用自定义和专有软件,27.48% 对模型和应用程序进行手动审计。只有 8.70% 的组织没有保护其开源供应链。
当被问及使用 OSS 的组织如何确保其数据科学和 ML 软件包安全并符合企业安全标准时,43.03% 的受访者表示他们使用托管存储库,35.76% 使用漏洞扫描程序(同比增长 5.76%),34.13% 对漏洞数据库进行手动检查。19.17% 的组织没有保护其开源管道(同比下降 5.83%)。
在 7.73% 没有使用开源软件的受访者中,最大的原因是担心漏洞、潜在风险或风险(54.48%)(同比增长 13.48%)。
2021 年底发生的 Log4j 事件是一个具有破坏性和影响范围广泛的开源安全漏洞示例。24.90% 的商业受访者表示,他们在事件发生后缩减了开源软件的使用。但近 33% 的组织没有缩减 OSS 的使用,这表明组织不想错过与开源软件相关的可负担性、灵活性以及无限的技术进步机会。
了解有关今年数据科学现状报告的更多信息在此。
Anaconda 如何支持开源安全?
在 4 月份,我们列出了六种方式,我们正在投资于我们的用户和平台,以提高安全性,从那时起我们取得了巨大进步。
随着 Anaconda 企业版计划的发布,我们推出了治理控制,使开源 Python 可供必须遵守最严格安全级别的大型组织使用。现在,组织可以在源头降低其开源漏洞风险,确保开源许可合规性,以及访问和分发仅供批准使用的软件包,供其团队使用。
我们确保开源 Python 安全和合规的主要方式之一是通过 CVE 整理。由于需要筛选的 CVE 太多,因此组织可能难以区分哪些漏洞是真正威胁,哪些是误报。这就是为什么 Anaconda 的整理团队会审查标记的软件包,验证 CVE 影响的软件,并整理 CVE 状态和评分。Anaconda 的整理功能使组织能够信任 CVE 评分,并根据状态和通用漏洞评分系统 (CVSS) 轻松筛选 CVE,只允许通过内部安全策略的软件包进入工作流。有关 Anaconda 如何整理 CVE 的更多信息,请阅读我们的博客。
开源安全是每个人的责任
网络安全意识月是一个提升安全问题并开始实施新或改进解决方案的机会。随着开源软件在组织内不断普及,确保员工接受过良好培训,并且熟悉最新的网络安全趋势以及他们的部门或行业面临的具体挑战非常重要。尽管安全是每个人的工作,但管理和控制员工依赖的开源工具和存储库的责任在于 IT 团队。
借助 Anaconda,用户可以消除对开源安全的猜测,并相信他们依赖于工作的存储库和软件包是安全的。
探索更多关于保护开源软件的 Anaconda 资源
-
博客:Anaconda 如何努力保护商业用户免受网络安全威胁
-
白皮书:如何为数据科学、人工智能和机器学习实施 OSS 治理计划
-
按需网络研讨会:了解你的敌人:漏洞数据以及如何使用它
-
按需网络研讨会:不断增长的威胁:保护您的开源软件管道
