为什么开源软件安全应该是您的首要任务

开源软件 (OSS) 是创新技术和当今正在实施的一些最令人印象深刻的 AI 成功案例 的核心。它也是威胁行为者的目标，他们试图利用开源的内在风险。白宫和国家标准与技术研究院 (NIST) 已发布针对使用 Python 和 OSS 的组织的指南，现在是为安全挑战做好准备的时候了，特别是如果您的组织在美国运营。

本文是关于这些挑战的入门读物，并为组织提供建议。

时间线：责任负担转移，且漏洞代价高昂

2021 年 5 月，白宫发布了 第 14028 号行政命令，该命令启动了多项网络安全改进计划。2022 年 2 月，根据该行政命令的指示，国家标准与技术研究院 (NIST) 发布了 NIST 软件供应链安全指南 和 NIST 安全软件开发框架 (SSDF)。该框架由四个主要类别组成

1. 准备组织：确保组织层面为安全软件开发做好准备。
2. 保护软件：保护所有软件组件免受篡改和未经授权的访问。
3. 生产安全良好的软件：利用人员、流程和工具创建漏洞最少的安全软件。
4. 应对漏洞： 识别和解决软件版本中剩余的漏洞，建立及时响应和预防的流程。

传统上，组织对软件安全采取被动措施。然而，NIST SSDF 强调需要主动努力，尤其是在开源软件方面。开源的复杂性，包括依赖关系和不同的安全实践，带来了挑战。

2022 年 9 月，美国管理和预算办公室发布了 M-22-18 号备忘录，该备忘录正式将 NIST 框架定为联邦政府机构及其软件供应商安全软件开发的强制性标准。根据 M-22-18 号备忘录，向美国政府销售软件的组织必须在 2023 年 6 月之前自我证明符合关键软件的 NIST 指南，并在 2023 年 9 月之前证明符合所有其他软件的 NIST 指南。

2023 年 3 月，白宫发布了 国家网络安全战略，强调需要集体防御并提高数字生态系统的安全性，其中包括开源软件。该战略强调在各部门采用 NIST 网络安全框架以改进网络安全实践和弹性，并将不安全软件的责任分配给制造商和软件发布商，而不是消费者或开源开发者

“我们必须开始将责任转移到那些未能采取合理预防措施来保护其软件的实体身上，同时认识到即使是最先进的软件安全程序也无法阻止所有漏洞。” 

-国家网络安全战略

关于政府和国会实施国家网络安全战略的具体立法细节仍在不断发展。然而，对于所有软件团队，尤其是那些处理金融服务或医疗保健等行业的敏感消费者或业务数据的团队来说，重要的是要注意以前的案例，例如联邦贸易委员会因 Apache Struts 开源项目中的漏洞而对 Equifax 处以 7 亿美元罚款的案例，该漏洞导致数百万条敏感消费者记录泄露。

挑战 1：威胁行为者以开源为目标，而开源安全解决方案无法保护您的组织。

开源软件具有许多优势，包括灵活性、成本效益和快速创新。然而，它也带有内在的漏洞。与敏感数据或在高度监管行业工作的组织在使用 PyPI 或 conda-forge 等平台时可能会将自己暴露于潜在风险之中，这些负责任的开源软件维护者已警告制造商，这些软件包不适合商业用途。

这些平台托管来自无数来源的各种软件包。虽然许多开源社区都有审查和审核代码的流程，但并非所有软件包都经过相同级别的严格安全检查。这可能会导致以拼写错误抢注域名、恶意软件、依赖混淆和/或作者冒充的形式，将不安全或恶意代码无意中引入您的系统。此外，这些平台的开放性使其对可能试图破坏流行软件包或分发恶意软件包的威胁行为者具有吸引力。

建议

审查您开源软件供应链中的所有供应商，并记录所有为您提供与安全相关的软件或服务的供应商。寻找机会集中化软件包和环境管理到一个平台，这将有助于确保您组织的开源软件用户从满足您组织安全要求的中心位置选择软件包。

扫描常见漏洞和暴露 (CVE) 非常重要。但您必须更进一步——通过专家的 CVE 管理——以确保安全的开源软件包和环境。您还需要由您的 IT 管理员集中管理和令牌化访问软件包，以获得更强大的安全性。

挑战 2：策略控制是必要的，并且它们只是您的第一道防线。

策略控制和执行不仅仅是一种选择——它们是必要的。在一个数据泄露日益普遍且代价高昂的时代，强大的安全策略和控制是您抵御网络威胁的第一道防线。它们有助于防止未经授权的访问、检测异常并响应事件。

然而，PyPI 或 conda-forge 等平台的开源性质可能会使实施和维护这些措施变得复杂且耗费资源。这通常涉及组装多个定制的解决方案来扫描、控制工件和构建策略。

建议

评估您组织的 OSS 供应链治理和合规性，并与供应商核实他们是否拥有策略引擎来协助您组织范围内的安全工作。此外，查看他们是否可以帮助您为不同的团队设置自定义策略，以便您可以限制对部署或生产环境的访问，仅限于那些需要访问的人员。

挑战 3：责任负担正在转移到软件制造商和发布商身上。

应对政府法规的复杂合规性是一项艰巨的任务。《2023 年国家网络安全战略》和第 14028 号行政命令强调了所有利益相关者在保护数字生态系统方面的共同责任。这些法规为组织规定了具体要求，包括进行风险评估、实施安全措施和报告事件。不合规可能会导致处罚和声誉损害。

面对这些复杂的法规和不断演变的网络安全形势，实现和保持合规性可能会让人感到不知所措。这就是拥有值得信赖的合作伙伴变得非常宝贵的地方。

建议： 

仔细选择您的开源供应商。查阅买家指南、第三方和 用户评论 以及其他资源，以确定供应商所做的承诺是否在其解决方案中得到体现。除了产品之外，还要考虑供应商的多年经验、团队的素质及其支持选项。您会希望所有合作伙伴都像您的组织一样致力于安全，因为您的团队将承担责任。

Anaconda 可以帮助保护您的 OSS 供应链

对于您来说，采取积极措施来保护整个组织的软件非常重要。Anaconda 的解决方案通过提供有助于执行关键策略和控制的工具和功能，从一开始就确保您的开源软件生态系统安全合规，从而与这些国家战略和 NIST 框架的基本原则保持一致。虽然我们认识到没有任何系统能够完全不受威胁的影响，但我们的产品经过精心设计，可在日益互联的数字环境中提供无与伦比的安全性，保护您的数据和系统。

借助 Anaconda，我们为您完成了艰苦的工作。当您从 Anaconda 下载时，您下载的是我们从头开始构建和保护的东西。我们提供工具和功能，帮助您从一开始就执行关键策略和控制，确保您的开源软件生态系统安全合规。我们创建了我们的平台，以便您可以专注于您最擅长的事情，同时知道您的开源供应链掌握在安全的手中。

以下是 Anaconda 如何帮助您应对不断变化的网络安全责任形势

1. 集中式仓库：使用我们的集中式仓库简化您的开源软件管理，增强对您的软件生态系统的可见性和控制。

2. 可信来源：依靠 Anaconda 的 Conda 签名验证来获得软件包的最高级别的真实性和完整性。此功能使您可以放心地安装或更新软件包，因为您知道它们源自经过验证的来源，并在传输过程中保持未被篡改。信任 Anaconda 来保护您的软件包分发系统，并为您提供有关潜在泄露的关键信息。

3. 令牌化访问：使用我们的令牌化访问来防范未经授权的访问，并防止软件包源代码或分发过程遭到破坏。

4. 策略执行：使用 Anaconda 在您的开源软件包环境中执行严格的安全措施，从而显着减少漏洞和潜在的法律风险。我们独特的 CVE 管理服务提供全面、准确且经过管理的 CVE 数据库，使您能够就您使用的软件包做出明智的决策，并确保与您组织的安全策略保持一致。

5. 软件物料清单 (SBOM)：为您的组织配备 Anaconda 的 SBOM，全面了解您的软件供应链。我们的 SBOM 按照软件软件包数据交换 (SPDX) 规范构建，提供软件组件的可见性，有助于了解潜在的风险因素，并在出现问题时实现更快的响应时间。

6. NIST-SSDF 合规性：Anaconda 积极致力于实现和保持符合 NIST 安全软件开发框架 (SSDF) 的要求，确保我们满足客户的要求，并为稳健且安全的软件开发流程做出贡献。

当您选择 Anaconda 时，您将获得更快地构建安全 Python 解决方案的能力——并且您正在投资于您组织未来的安全。通过将 Anaconda 作为您的企业平台，您正在展示您致力于采取合理的预防措施来保护您的软件。

要了解有关 Anaconda 如何帮助您更快地构建安全 Python 解决方案的更多信息，请预约免费安全咨询或立即安排演示。