360漏洞云@全球程序员节：用良性漏洞生态及规则机制，守护开源软件大安全！

10月24日，主题为“云启信创，码动未来”的第四届全球程序员节正式拉开帷幕，360漏洞云胡晓娜受邀出席大会，并在开源软件创新生态论坛上做【开源生态漏洞趋势及应对探索】主题分享，与国家工业信息安全发展研究中心、工信部信息技术发展司、高新区党工委、开放原子开源基金会、中国科学院软件研究所、国家工业信息安全发展研究中心软件所、华为、浪潮、腾讯、京东数科、开源中国、西安交通大学等相关领导，共话开源生态未来。

从全球范围来看，开源软件技术已逐渐形成一种趋势，开源软件迅速改变了现代应用程序的构建方式及其所依赖的基础代码。因其公开透明的协作方式，高质量和强大的开源软件项目，使开发人员快速将新功能集成到其应用程序中，在大幅降低软件成本的同时，提升了产品的创新性和交付效率。

在今天，不管是操作系统、数据库、Web服务器这些传统软件领域，还是人工智能、大数据、移动操作系统这些新兴技术领域，从基础软件到应用软件都充斥着大量的开源组件，开源技术已经渗透在软件领域的方方面面，成为技术创新的重要驱动力量。

开源软件在组织的版图扩张、技术路径、技术创新、商业布局等方面发挥了非常重要的作用。开源组件的引入可以帮助企业加速创新、占领市场。但是，随着开源软件使用的普及，开源软件的漏洞爆发量也在持续走高。当开源软件被无数开发人员复用时，代码中出现的漏洞或某些弱点也将会被大规模复制、传播，形成“危险继承”。

全球开源软件漏洞现状及趋势

根据RiskSense发布的全球知名开源软件漏洞分析报告，2019年是开源软件漏洞的创纪录的一年，漏洞数量逐年增长的背后，是足以震荡全球的安全威胁！

360社区

2019年已发布的开源软件CVE总数为968个，相比于2018年增加了1.3倍。2020年目前只统计了前3个月的数据，虽然增长步伐比2019年稍有放缓，但按照目前的增速，仍然远高于其它年份。随着漏洞数量逐年增长，全球对开源软件漏洞的关注陡然增加！各大厂商纷纷发布高额漏洞赏金的根本原因，在于一旦这些漏洞被利用，造成的损失将不可估量！

360社区

从CVE漏洞总数来看，排名最靠前的项目依次是Jenkins，MySQL，GitLab，OpenStack和 Magento，它们在全球范围内被广泛使用，而且每个开源软件都基本上有被武器化的漏洞。虚拟化开发环境Vagrant，其漏洞的武器化率更是高达67%，全球开源软件安全形势可谓极其严峻。

360社区

2020年，开源软件CVE漏洞类型排名前五的漏洞都与数据窃取相关，占到了整体漏洞数量的68%。

360社区

PHP被爆出的漏洞占到了整体漏洞的57%，需要注意的是，漏洞多并不代表php语言本身不安全，而是使用php的开发人员安全意识不足导致了很多问题的发生。据360BugCloud开源漏洞响应平台统计，国内出现的开源通用软件漏洞中使用php开发的软件就高达70%以上。

360社区

使用量大的开源组件并不就意味着更高的安全性。即使使用了很流行的框架，也要及时关注其框架出现的安全问题。

开源优秀的设计架构、设计模式，以及先进的编程思想，也给软件带来了潜移默化的影响。就算在软件中，没有直接使用存在漏洞风险的开源组件，也可能在借鉴它的编程思想和架构设计时，将“精华”和“糟粕”一同传承了下来。漏洞的产生往往非常容易，比如webConfig配置文件中一个配置项的值不小心设置有误，就会给黑客“留了门”，这个后门被利用也只是时间的问题。

国内开源软件应用面临的严峻挑战

360社区

对于国内的开源软件使用厂商：

涉及二次开发等问题，无法升级修补；

没有合适的渠道获取软件漏洞相关信息及服务，无法进行补丁升级；

在线业务系统重要，老旧组件不敢升级，带病运行。

对于国内的漏洞研究员：

没有专业、庞大、持续，且成建制的研究团队就开源生态进行针对性研究与挖掘；

在付出了巨大的时间投入挖掘漏洞后，获取不到足够的利益，挖洞积极性下降；

挖到洞但是没有途径与开源方沟通，或者由于开源维护方不重视，不予受理。

对于开源软件厂商：

开源维护方没有良性的漏洞信息收集与响应渠道，无法第一时间了解漏洞信息；

因维护方运维不足，漏洞补丁修复时间过长。

开源软件是信创生态建设的基石

信息技术创新应用是我国信息技术领域打造自主创新生态的国家战略举措。我国在大力推进信创产业发展的同时，做好网络安全保障是实现我国信创战略目标的重要前提和基础。出于节省时间和成本的考虑，我国信创产业中自主开发的产品大量使用了开源组件，在加速开发的同时，漏洞风险也变得难以评估。

很多安全事件究其根本，在于面对安全威胁，对漏洞的掌控度不够。胡晓娜指出，目前，我国很多关键领域的关键技术都使用了国外的开源项目，对国外开源软件支持的依赖，导致无法在第一时间获取漏洞信息，使得我们在漏洞防御和修复上极其被动。

在处理漏洞上，不仅需要跟踪漏洞的发现、厂商收录、修复这些环节，更要进一步跟踪漏洞被武器化的问题，而这就需要有更多的安全研究员、更完善的漏洞生态系统和更精准的情报系统做支撑，帮助我们获取更多的第一手漏洞情报，防止它们被武器化后造成的威胁。

为了解决层出不穷的开源漏洞风险，需要一整套科学可行的解决办法，更需要整个产业生态上的建设与产品能力上的创新。

用良性的漏洞生态及规则机制共建开源大生态

胡晓娜指出，公平的溢价流程，合理的定价标准，以及清晰的漏洞价值判定依据是建立良好的漏洞生态，激励、引导安全研究员们对开源软件进行深度、持久、常态的研究与漏洞挖掘的关键。

基于此，国内首个开源漏洞响应平台360BugCloud在2019年应运而生，360BugCloud是以信任为基础、公正为原则、技术为驱动、安全专家为核心的全新平台，通过漏洞悬赏的模式，聚焦收录未被披露的开源以及通用组件高危漏洞，降低漏洞被利用的风险，维护开源软件和供应链安全。

360社区

在谷歌今年5月、6月、7月修复的安卓平台安全漏洞中，360BugCloud开源漏洞响应平台与360漏洞研究院一同贡献了3枚安卓漏洞并获得致谢。在漏洞挖掘上，360BugCloud不遗余力的专注基础软件的漏洞发现、追踪和防御，并积极推动厂商及时修复威胁。

据统计，360BugCloud平台收到了来自全球的大量开源高危漏洞，包含0day漏洞和1day漏洞，其中包括：Wordpress、Joomla、Apache Solr 、Weblogic、WebSphere、Ruijie路由器、Tplink、Dlink、draytek VPN、Windows、Office、jira 等，这些漏洞的提交成功守护了数千万台终端，其中包括：IoT/网络设备等3950万台，建站系统类2011万台，框架插件类872万台，中间件类2300万台，客户端软件801万台等，涉及政府、企、事业等上百余家单位，覆盖：能源、金融、交通、医疗、电信、教育、政府众多关键行业领域，避免了全球数亿的价值损失。

360漏洞云通过开源漏洞安全运营模式，将开源项目安全研究员、开源技术软件厂商，以及开源技术软件用户连接为一个共同体，用先进的开源漏洞运营模式，使得生态良性发展，让世界走在威胁之前。

360社区