企业中开源软件 (OSS) 的爆发促使人们重新审视用于保护对现代企业至关重要的技术的工具和流程。
由于像 Log4j 这样的漏洞以及乌克兰战争引发的全球冲突,开源安全 आजकल 成为每个人关注的焦点。近年来,我们已经看到软件中的微小漏洞如何被犯罪企业利用以获取巨大利益,主要是通过勒索软件。如今,开源驱动着几乎每一件软件或技术,维护其安全性至关重要。
安全是一项不断发展的工作,因此,重要的是要拥有正确的工具和流程来维护安全,同时又不影响效率。在网络安全意识月,我们希望重点介绍数据科学家正在采取的各种保护开源管道的方法,以及 Anaconda 如何为开源 Python 开发提供无缝且安全的平台。
什么是开源安全?
开源安全指的是与开源软件相关的流程、工具、角色和风险。作为社区和志愿者驱动的软件,开源在组织内部可以释放的创新方面是无与伦比的,并且已成为各行各业的重要工具。从开发人员在其应用程序中使用开源到非技术用户利用该技术来简化他们的工作,开源无处不在。由于开源可以以多种方式嵌入到组织中,因此管理和保护此软件是现代 IT 部门的重要职能。
开源与商业软件
开源软件渗透到几乎每个行业是有原因的;在长期来看,在实现创新和降低软件成本方面,根本没有更好的替代方案。由于开源软件是社区驱动和维护的,因此任何错误或问题都会在公开场合被识别和处理,而不是在黑匣子背后。这通常意味着补丁和修复程序会快速部署到最广泛使用的开源工具中。由于有整个开发者社区支持项目,组织无需投入大量时间来维护软件,可以将这些资源转移到更有效的用途上。
尽管如此,许多企业都是建立在商业软件之上的,因此它显然有一些好处。专为解决特定行业需求或问题而设计的商业软件,对于组织来说,可以是非常值得投资的,而不是构建自己的软件。此外,当用户遇到问题时,商业软件供应商有动力提供专业级别的支持,而社区驱动的论坛可能无法立即提供解决方案。
在 Anaconda,我们为个人用户免费提供 Anaconda Distribution,并投资了所有人都可访问的多种开源 Python 语言。除了我们的免费和开源软件之外,我们的商业许可软件旨在为开源 Python 编程提供专业且安全的平台。
从《2022 年数据科学状况报告》中学习开源安全
今年,Anaconda 调查了数千名数据科学学生、专业人士和学者,以更好地了解驱动开源和 Python 采用的趋势。在安全性方面,我们发现比以往任何时候都有更多的人参与 OSS 的创建、维护和发展。这可能会给系统带来风险,但这种增长也可以被视为积极的,因为它允许更快地捕获和修补更多漏洞。
当被问及使用 OSS 的组织如何确保其供应链安全并符合企业安全标准时,40.39% 的受访者表示他们使用漏洞和安全扫描软件,32.76% 创建和使用自定义和专有软件,27.48% 进行手动模型和应用程序审计。只有 8.70% 的人没有保护他们的开源供应链。
当被问及使用 OSS 的组织如何确保其数据科学和 ML 软件包安全并符合企业安全标准时,43.03% 的受访者表示他们使用托管存储库,35.76% 使用漏洞扫描器(同比增长 5.76%),34.13% 对漏洞数据库进行手动检查。19.17% 的人没有保护他们的开源管道(同比下降 5.83%)。
在 7.73% 的受访者中,他们的组织未使用开源软件,其中最大的原因是担心漏洞、潜在的暴露或风险(54.48%)(同比增长 13.48%)。
2021 年末的 Log4j 事件是开源安全漏洞的一个破坏性且影响深远的例子。24.90% 的商业受访者表示,他们的组织在事件发生后缩减了开源软件的使用。但几乎 33% 的人没有缩减其 OSS 的使用,这表明组织不想错过与开源相关的经济性、灵活性和无限的技术进步机会。
在此处阅读有关今年《数据科学状况报告》的更多信息。
Anaconda 如何支持开源安全?
在 4 月份,我们列出了我们为改善安全性而投资于用户和平台的六种方式,从那时起,我们取得了巨大进展。
随着 Anaconda Business 计划的发布,我们引入了治理控制,使必须遵守最严格安全级别的大型组织可以访问开源 Python。现在,组织可以从源头上降低其开源漏洞风险,确保开源许可合规性,并访问和分发仅经批准的软件包,以供其团队使用。
我们确保开源 Python 安全合规的主要方法之一是通过 CVE 策展。由于有如此多的 CVE 需要筛选,组织可能很难知道哪些漏洞是真正的威胁,哪些是误报。这就是为什么 Anaconda 的策展团队审查标记的软件包,验证 CVE 影响的软件,并策划 CVE 状态和评分。Anaconda 的策展使组织能够信任 CVE 评分,并根据状态和通用漏洞评分系统 (CVSS) 轻松过滤 CVE,仅允许通过内部安全策略的软件包进入工作流程。有关 Anaconda 如何策划 CVE 的更多信息,请阅读我们的博客。
开源安全是每个人的责任
网络安全意识月是提升安全问题并开始实施新的或改进的解决方案的机会。随着开源软件在组织内部的普及,重要的是要确保员工接受过良好的培训,并且精通最新的网络安全趋势以及其部门或行业面临的特定挑战。尽管如此,虽然安全是每个人的工作,但管理和治理员工所依赖的开源工具和存储库是 IT 团队的责任。
借助 Anaconda,用户可以消除开源安全中的猜测,并相信他们赖以工作的存储库和软件包是安全的。
探索更多关于保护开源软件的 Anaconda 资源
-
博客:Anaconda 如何团结起来保护商业用户免受网络安全威胁
-
白皮书:如何为数据科学、人工智能和机器学习实施 OSS 治理计划
-
点播网络研讨会:了解你的敌人:漏洞数据以及如何处理它
-
点播网络研讨会:日益增长的威胁:保护您的开源软件管道