为什么开源软件安全应该是您的首要任务

开源软件 (OSS) 是创新技术的核心，也是一些最令人印象深刻的AI 成功案例 的基础，这些案例正在今天实施。它也是试图利用开源固有风险的威胁行为者的目标。白宫和美国国家标准与技术研究院 (NIST) 已发布了针对使用 Python 和 OSS 的组织的指南，现在是时候为安全挑战做好准备了，尤其是在您的组织在美国运营的情况下。

本文是关于这些挑战的入门指南，并附有针对组织的建议。

时间表：责任负担转移，并且违规成本高昂

2021 年 5 月，白宫发布了第 14028 号行政命令，该命令启动了众多网络安全改进举措。2022 年 2 月，根据该行政命令的指示，美国国家标准与技术研究院 (NIST) 发布了NIST 软件供应链安全指南 和NIST 安全软件开发框架 (SSDF)。该框架包含四个主要类别

1. 准备组织：确保组织层面的安全软件开发准备就绪。
2. 保护软件：保护所有软件组件免受篡改和未经授权的访问。
3. 生成安全的软件：利用人员、流程和工具来创建漏洞最少的安全软件。
4. 应对漏洞：识别和解决软件发布中剩余的漏洞，建立及时响应和预防的流程。

传统上，组织采取被动措施来保障软件安全。然而，NIST SSDF 强调需要积极主动的努力，尤其是在开源软件方面。开源的复杂性，包括依赖关系和不同的安全实践，带来了挑战。

2022 年 9 月，美国管理和预算办公室发布了备忘录 M-22-18，该备忘录将 NIST 框架正式定为联邦政府机构及其软件供应商安全软件开发的强制性要求。根据 M-22-18，向美国政府销售软件的组织必须在 2023 年 6 月之前针对关键软件，并在 2023 年 9 月之前针对所有其他软件，自我证明符合 NIST 指南。

2023 年 3 月，白宫发布了国家网络安全战略，强调需要集体防御和改进数字生态系统的安全性，其中包括开源软件。该战略强调了在各个行业采用 NIST 网络安全框架以改善网络安全实践和弹性的重要性，并将不安全的软件责任归咎于制造商和软件发布者，而不是消费者或开源开发人员。

“我们必须开始将责任转移到那些未能采取合理措施来保护其软件的实体，同时认识到即使是最先进的软件安全程序也无法阻止所有漏洞。”

- 国家网络安全战略

政府和国会对国家网络安全战略实施的具体立法细节仍在不断发展。但是，对于所有软件团队，尤其是那些在金融服务或医疗保健等行业处理敏感消费者或商业数据的团队来说，重要的是要牢记之前的案例，例如联邦贸易委员会对Equifax 的 7 亿美元罚款，该罚款是由于 Apache Struts 开源项目中的漏洞造成的，导致数百万敏感消费者记录被泄露。

挑战 1：威胁行为者以开源为目标，开源安全解决方案无法保护您的组织。

开源软件提供了许多好处，包括灵活性、成本效益和快速创新。然而，它也存在着固有的漏洞。使用 PyPI 或 conda-forge 等平台的组织，尤其是那些处理敏感数据或在受严格监管的行业工作的组织，可能会在使用这些平台时暴露于潜在风险，而这些负责任的开源软件维护者已提醒制造商这些软件包不适合商业用途。

这些平台托管来自众多来源的各种软件包。虽然许多开源社区都制定了审查和验证代码的流程，但并非所有软件包都经过相同级别的严格安全检查。这可能导致无意中将不安全或恶意代码引入您的系统，形式包括打字错误攻击、恶意软件、依赖关系混淆和/或作者冒充。此外，这些平台的开放性使其成为威胁行为者的诱人目标，他们可能会试图破坏流行的软件包或分发恶意软件包。

建议

审查开源软件供应链中的所有供应商，并记录所有为您提供与安全相关的软件或服务的供应商。寻找将软件包和环境管理集中到一个平台的机会，这将有助于确保您的组织的开源软件用户从满足您组织安全要求的中央位置选择软件包。

扫描常见漏洞和暴露 (CVE) 很重要。但是，您必须超越此范围——由专家进行 CVE 策划——以确保开源软件包和环境安全。您还需要对软件包进行令牌化访问，这些软件包由您的 IT 管理员集中管理，以实现更强大的安全性。

挑战 2：策略控制是必要的，而且它们仅仅是您的第一道防线。

策略控制和执行不仅仅是选项，而是必要条件。在数据泄露事件日益普遍且成本高昂的时代，强大的安全策略和控制措施是抵御网络威胁的第一道防线。它们有助于防止未经授权的访问，检测异常并响应事件。

然而，PyPI 或 conda-forge 等平台的开源性质可能会使实施和维护这些措施变得复杂且资源密集。这通常涉及组装多个定制解决方案来扫描、控制工件和构建策略。

建议

评估您组织的 OSS 供应链治理和合规性，并与供应商核实他们是否拥有策略引擎来帮助您在整个组织中进行安全工作。此外，请查看他们是否可以帮助您为不同的团队设置自定义策略，以便您可以将对部署或生产环境的访问限制为只有那些需要访问的人。

挑战 3：责任负担正在转移到软件制造商和发布者。

应对政府法规合规性的复杂性是一项艰巨的任务。2023 年的国家网络安全战略和第 14028 号行政命令强调了所有利益相关者在保障数字生态系统安全方面的共同责任。这些法规对组织制定了具体要求，包括进行风险评估、实施安全措施和报告事件。不遵守规定可能会导致处罚和声誉受损。

在面对这些复杂的法规和不断变化的网络安全环境的情况下，实现和保持合规性可能会让人不堪重负。这时，拥有一个值得信赖的合作伙伴就变得至关重要了。

建议：

仔细选择您的开源供应商。查阅购买指南、第三方和用户评论 以及其他资源，以确定供应商承诺是否在他们的解决方案中得到体现。除了产品之外，还要考虑供应商的经验年限、团队质量和支持选项。您希望所有合作伙伴都像您的组织一样重视安全性，因为您的团队将承担责任。

Anaconda 可以帮助您保护您的 OSS 供应链

确保整个组织软件安全，采取主动措施至关重要。Anaconda 的解决方案与这些国家战略以及 NIST 框架的基本原则相一致，通过提供帮助执行关键策略和控制的工具和功能，确保您的开源软件生态系统从一开始就安全合规。虽然我们认识到没有系统可以完全不受威胁，但我们的产品经过精心设计，提供无与伦比的安全性，在日益互联的数字环境中保护您的数据和系统。

借助 Anaconda，我们已经为您完成了繁重的工作。当您从 Anaconda 下载时，您下载的是我们从头开始构建并保护的内容。我们提供帮助执行关键策略和控制的工具和功能，确保您的开源软件生态系统从一开始就安全合规。我们创建了我们的平台，以便您可以专注于自己最擅长的领域，并确信您的开源供应链处于安全可靠的手中。

以下是如何使用 Anaconda 帮助您应对不断变化的网络安全责任格局

1. 集中式存储库：使用我们的集中式存储库简化您的开源软件管理，增强对软件生态系统的可见性和控制。

2. 可信来源：依靠 Anaconda 的 Conda 签名验证，确保您的包具有最高级别的真实性和完整性。此功能使您可以放心地安装或更新包，因为您知道它们来自经过验证的来源，并且在传输过程中保持未被篡改。相信 Anaconda 来保护您的包分发系统，并为您提供有关潜在漏洞的关键信息。

3. 令牌访问：使用我们的令牌访问，防止未经授权的访问，并防止对包源代码或分发过程的破坏。

4. 策略执行：使用 Anaconda 在您的开源包环境中实施严格的安全措施，大幅降低漏洞和潜在法律风险。我们独特的 CVE 维护服务提供了一个全面、准确且经过维护的 CVE 数据库，使您可以对使用的包做出明智的决定，并确保与组织的安全策略保持一致。

5. 软件物料清单 (SBOM)：为您的组织配备 Anaconda 的 SBOM，全面了解您的软件供应链。我们的 SBOM 符合软件包数据交换 (SPDX) 规范构建，提供对软件组件的可见性，有助于了解潜在风险因素，并能更快地响应问题。

6. NIST-SSDF 符合性：Anaconda 积极致力于实现和保持与 NIST 安全软件开发框架 (SSDF) 的符合性，确保我们满足客户的要求并为健壮且安全的软件开发过程做出贡献。

当您选择 Anaconda 时，您将获得更快构建安全 Python 解决方案的能力，并且您正在投资组织安全性的未来。有了 Anaconda 作为您的企业平台，您正在表明您致力于采取合理的预防措施来保护您的软件。

要详细了解 Anaconda 如何帮助您更快地构建安全的 Python 解决方案，请立即预订免费安全咨询或安排演示。