5月26日,2021云原生产业大会在京正式举行,悬镜安全华北区技术运营中心负责人霍光受邀出席,并针对“开源软件的现状与治理”主题进行了分享。该分享重点讲述了企业现阶段所面临的开源软件的风险以及如何对开源软件进行治理,为行业用户在开源软件治理方面带来新的思考。

霍光介绍到,当前开源软件的现状是:
1、现在的代码是组装式而非自己编写的;
2、大量使用开源组件;
3、由于应用软件越来越多,企业开始使用低代码编程。
众所周知,今天的软件系统不像之前那样单一了,有很多代码成分。除了自研部分之外,还包括开源软件、代码复用、商业应用、第三方库和外包开发。复杂的代码成分,就会导致难以管理的问题。从图中可以看出来目前使用最多的就是开源软件。

接下来霍光介绍到开源软件明确定义由1998年OSI给出,包括十大特性,即自由再发布、源代码公开、允许派生作品、作者源代码完整性、不能歧视任何个人或团体、不能歧视任何领域、许可证的发布、许可证不能只针对某个产品、许可证不能约束其他软件、许可证必须独立于技术。
十个定义条件定义了开源软件的范围,同时也代表着开源软件比较大的发展态势。霍光介绍到目前开源软件有两个特点:第一是量多,每天都有百万级别的量,从一百万中选一个开源软件还是非常困难的;第二是成长速度很快,从2017年-2019年增长75%,可接近一倍,增长迅猛。以Java为例,在2018年时还是以Billion为单位,2018年Java的软件下载量为146billion,是4亿的下载量,自动化的软件开发极大地刺激了开源软件的下载,下载量比

本文探讨了开源软件的现状,包括代码组装式编写、组件使用广泛、低代码编程趋势。同时,开源软件的安全问题日益突出,如漏洞多、修复慢,以及许可证和SBOM风险。解决方案包括软件成分分析(SCA),通过与敏捷开发流程结合、风险排序、可视化呈现、漏洞库实时更新和自动化修复来加强治理。
485

被折叠的 条评论
为什么被折叠?



