【七彩话安全】美BIS新规枪口指向中国,未来开源安全将何去何从?

新闻 业界
1年前

【独家原创解读】


美新规再开启“双标”模式,网络安全管控持续“加码”


  最近,美国商务部工业和安全局(BIS)正式发布了针对网络安全领域的最新的出口管制规定。该规定主要包含了关于网络安全和漏洞信息的管控。根据新规定,出于所谓国家安全和反恐需要,美国实体与中国政府相关的组织和个人合作时,如果发现安全漏洞和信息,不能直接公布,要先经过商务部审核。   简言之,若美国商业公司为国内客户提供的正常合理的漏洞补丁修复服务以及漏洞情报推送服务(如此正常的商业行为都要受到如此区别对待),可能也需要先经过美国政府的同意后才能跨境发送分享的话,长远来讲恐对我国网络安全防御造成重大影响。这背后是否还另有玄机?还是醉翁之意不在酒?


  我们知道,美国是网络安全实力最强的国家之一,但总是以网络攻击受害者的面目出现,在网络安全领域更加强调自己的标准,把全球国家划分为不同限制种类,以“多重标准”区别对待与其不同战略关系的国家。早在奥巴马政府时期,美国面对网络安全问题,普遍的办法就是“黑回去”,以彼之道还之彼身。而在2018年的特朗普政府时期,网络安全战略中不仅是可以“黑回去”,还要“打回去”,提出了一个新的概念“防御前置”,在俄罗斯、伊朗等国家的网络安全系统里植入木马,进行率先主动的渗透攻击。而此时拜登的新政府又有了新动作,进一步对网络安全和漏洞信息管制继续“加码”。棱镜七彩专家认为,随着网络战的演进发展,从明面上的网络攻防将转移至更为隐蔽的软件供应链攻击,美BIS这一步意在将美主导的软件漏洞情报与中国绝缘,甚至将全球开源生态的漏洞分享机制破坏,从而更有利于开展软件供应链攻击行为。 


七彩01.jpg


“全球开源漏洞共享机制”被套上枷锁,开源源码、组件已成美专属“护照”


  该规定表明,禁止向中国等不友好国家分享漏洞信息,此举将严重破坏全球开源生态的漏洞信息分享机制,为合法的网络安全合作带来了很大的许可负担。同时也会影响开源领域的对风险漏洞响应的敏捷性、积极性、共享性。美国制定新的管控规定,潜在目的是针对中国企业在软件开源生态中的共享权益。棱镜七彩与相关部门测评摸查后,了解到我国大部分企业使用的开源软件都源于美国主导的开源社区、开源基金会、开源托管平台。但实际上,随着我国IT科技环境日益改善,我国企业对开源社区、开源生态等贡献逐步扩大,已经崛起了一批全球顶级的开源项目。如华为公司贡献的“鸿蒙”OpenHarmony、平凯星辰贡献的TiDB数据库、阿里公司贡献的Druid、RocketMQ等等。也有部分企业在国际主导的开源社区中贡献突出,已经逐步掌控了一定话语权,如华为欧拉之于Linux社区、翰高软件之于PostgreSQL社区等等。欧洲调查机构 MERICS 于 2021 年年中发布了《中国开源技术发展》研究报告,中国公司现在是国际开源社区的积极贡献者,中国已成为开源技术的主要消费者和贡献者;当前国内共有 23 个项目进入了 ASF(阿帕奇基金会),其中已有 15 个项目顺利毕业,成为了 ASF 的“顶级项目”。 更值得注意的历史性突破:2021 年进入 ASF 孵化的所有项目均来自中国!另外,当前国内已经有 25 个开源项目也进入了 CNCF(Linux 基金会旗下知名基金会),占了基金会所有项目的 20% 以上。可见,开源生态源于美国,但知识和贡献属于全人类。美国BIS的此番操作,破坏了开源生态中关于漏洞信息原本默认互通的协同共建共享共治机制。让我们清楚的认识到,继科学、艺术、体育、教育等领域“无国界”观念被打破后,开源安全领域也受到限制与冲击。虽然开源是自由的,但开源社区、开源网站、甚至是创造代码的开源软件工程师都是有国界的、是有立场的、是非自由的。全球最大的开源社区GitHub里有这样一句声明:“您上传的任何产品信息都可能受到美国出口管制法律的约束”。知名开源基金会Apache也有明确的规定:“美国出口法律和法规,适用于旗下的发行版”。也就是说,虽然开源社区和开源基金会里面的代码,是全世界工程师贡献的,但是这些代码是受美国出口管制条例约束的,除非美国政府正式授权,否则软件和技术,不得直接或间接的出口、再出口到美国禁运制裁的任何地方。 


七彩02.jpg


国际形势复杂多变,孕育开源生态还需自身“土壤”


  当前,在国际局势波谲云诡、复杂多变的背景下,俄乌战争冲突持续升温发酵的地缘军事动荡环境下,中美各领域间摩擦掣肘的竞争博弈已成为常态。美国毁掉全球网络安全共享机制的这波操作,会不会得偿所愿,导致中国企业面临巨大软件供应链安全危机。棱镜七彩梁大功认为,在短期内,还未看到该政策具体落地的实质影响力,需要有关部门高度重视,认真评估。中期来看,“司马昭之心路人皆知”,我国应采取一定措施策略应对,尽可能让科技企业减少影响和损失。但从长期来看,BIS的管控封锁只会进一步加快我国网络安全和信创速度,也将加速我国开源生态发展,开源安全产业链规模有望实现快速提升。此举可以增速国家和行业监管部门制定和完善开源安全相关政策。应对管控,开源安全需要国家政策、产业协同等多方面的多方面推动,企业需要在开源生态中找准自己的位置,尤其是中国企业在开源合规规范方面从原来的被动式变成主动式,通过自上而下推动建立中国自主的整套生态体系,打破组织壁垒,拉通专家组织资源,实现良性互动。提高整个中国开源产业的安全和合规的水平。根据2021年国家互联网应急中心(简称CNCERT)与棱镜七彩联合发布的《2021年开源软件供应链安全风险研究报告》调查分析,近年来,全球开源项目数量爆发式增长,企业逐渐重视对外开源贡献。随着企业开源软件应用比例逐年提升,开源已成为构建企业信息技术重要底座。统筹加快建立开源软件安全标准化体系、建立供应链安全可靠性风险识别与评估体系势在必行。在从事开源软件供应链安全咨询、审计、上下游产业融合与相关专业人才各方面赋能,形成以中国软件开源全生命周期市场机制为核心的供应链安全生态。此举将激发我国加快自主开源生态建设。正如《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》所指出,要支持数字技术开源社区等创新联合体发展,完善开源知识产权和法律体系,鼓励企业开放软件源代码、硬件设计和应用服务。另外,由中国人民银行、中央网信办等五部门发布《关于规范金融业开源技术应用与发展的意见》,意见也指出,开源技术在金融业各领域得到广泛应用,在推动金融机构科技创新和数字化转型方面发挥着积极作用,但也面临安全可控等诸多挑战。为规范金融机构合理应用开源技术,提高应用水平和自主可控能力,促进开源技术健康可持续发展提出了20条明确意见。随着相关政策引导逐步出台,相信未来我国开源生态将持续繁荣,将涌现出一批开源基金会(类似开放原子开源基金会)。孵化出一批国际知名开源项目(类似OpenHarmony);展露出一批以开源商业模式为主导的明星企业(类似平凯星辰、天谋科技)。国产软件开源厂商也有实力打造一条软件开源生态的“护城河”。正如Gitee(码云)、CSDN这样的中国开源社区也将肩负更多的责任,在开启的开源赛道中实现弯道超车。而微软、谷歌等老牌企业不仅会因为美国的新规定而失去中国市场的份额,还会失去外界的信任。就像比尔盖茨所说的,“脱离中国技术,只会加速他们实现自给自足的速度”。 


七彩03.jpg


全球开源漏洞共享机制遭破坏,我国开源安全谁来守护?


  棱镜七彩罗峋认为,开源软件本身就是复杂的、动态发展的,开源安全的情况就更加盘根错节,涉及到敏感的软件供应链安全攻击,也涉及到跨国协同合作模式。开源安全问题也是近年来全球安全同行高度关注的话题,尤其是史诗级开源安全漏洞log4j影响范围巨大。开源安全仅靠一家企业,一个机构是完全不够的,需要联合多方力量共同建设安全可信的开源安全生态。棱镜七彩建议:国家层面,应建立自主的专门针对开源漏洞的披露、响应机制,提高开源漏洞的通达率和漏洞修复效率。根据安全漏洞情况,持续更新漏洞内/外部影响范围,如遇问题应及时组织相关人员对漏洞进行修复。企业层面,有能力的企业应肩负开源漏洞挖掘、研究、分析的重担。加大相关工作和资源投入,将研究发现相关成果主动贡献报告给国家漏洞平台(例如CNVD、CNNVD、CSTIS等)。诸如阿里云log4j漏洞通报事件要避免再次发生。开源社区层面,应陆续设立开源安全漏洞治理组,如果开发人员在使用开源组件时,安全团队需进行漏洞检测和许可管理,以保障社区安全治理。开源社区应持续进行开源安全监测保障社区安全运维能力。积极宣扬开源安全治理理念,培养开发者用户开源治理意识和习惯,打造共建共享共治的开源漏洞信息安全新体系。 


七彩04.jpg


  棱镜七彩自创立之初,即致力于解决开源安全问题。旗下开源安全研究院也已成立多年,累计收录、预警、挖掘、分析开源漏洞数以万计。如今,由于美方BIS突然加码管控,一切看似美好的“开源无国界”软件生态愿景被现实所打破。在百年未有之大变局的历史机遇下,中国开源生态政产学研各方力量都应身体力行,凝聚共识,继续加快自主化进程。昨日之深渊,今日之浅谈,路虽远,行则将至。事虽难,做则可成。全球开源安全凛冬将至,愿与开源生态同仁携手共进,共同打造一个更安全的、更包容的、更开放的、更自主的开源生态系统。



参考阅读

棱镜七彩成功入围软件供应链安全实验室3S-Lab