给CISA主任的报告：开源安全.docx

给CISA主任的报告：开源安全

【译者按】2024年10月，美国网络安全和基础设施安全局（CISA）网络安全咨询委员会（CSAC）下设的技术咨询委员会（TAC）小组委员会发布《给CISA主任的报告：开源安全》。报告认为，开源软件已在政府部门、关键基础设施和公共生活中得到广泛应用，其漏洞将对下游的行

业领域产生广泛影响，各国政府均已高度重视开源安全。报告围绕开源软件安全消费规范、安全消费规范鼓励措施、引导商业公司承担开源安全责任以及维护人工智能开源安全四个问题，分别开展研究并提出建议。赛迪智库信息化与软件产业研究所对报告进行了编译，期望对我国有关部门有所帮助。

【关键词】开源软件开源安全安全消费规范商业公司人工智能

一、前言

美国网络安全和基础设施安全局（CISA）网络安全咨询委员会（CSAC）于2021年6月正式成立。该委员会是一个独立的咨询机构，围绕CISA网络安全使命相关的政策、计划、规划和培训的制定、完善和实施，定期向CISA提供独立的、战略性的、可操作的建议、咨询及报告。CISA网络安全咨询委员会下设5个小组委员会，其中技术咨询委员会（TAC）小组委员会主要提供技术相关的咨询，如内存安全、漏洞挖掘和披露等。

本报告是TAC小组委员会围绕“开源安全”主题的必威体育精装版报告。近年来，与软件漏洞相关的安全事件持续出现，既涉及商业软件也涉及开源软件，其中不乏高影响和高知名度的漏洞。日益复杂的软件供应链和软件依赖关系已成为犯罪组织和一些国家的常见攻击目标，软件安全问题已经引起全世界的关注。随着大国竞争升级，以开源软件生态系统为目标的情况预计仍会增加。在这种环境下，倘若忽视软件依赖性安全性的现状，将难以提供抵御这些威胁因素以及让公众从开源软件获益所必需的弹性、保障或稳定性。

CISA于2023年启动“设计安全”计划，以提高商业软件的安全性。“设计安全”计划旨在提高认识、提供指导并建立自愿标准，将软件缺陷视为不遵循安全设计原则的可预测结果，而非

现代软件开发生命周期的不可避免的结果。小组委员会认为这是一个可喜的转变。

相比而言，提高商业软件安全性的途径较为简单，因为它对所有“正常的”市场和法规激励，如市场份额和责任做出了反应。而针对开源软件安全性的保障更为复杂。开源软件处于一个由社区项目、个人贡献者和商业开发者共同驱动的环境中，通常只支持他们的产品所依赖的开源软件组件。开源软件的许可证协议中普遍包括保证免责声明条款，规定开源软件“按原样”提供，即贡献者和许可方不对软件的质量、性能或适用性作任何保证。资金不足的开源软件非营利基金会可能难以支付开发费用，“免费增值”商业模式不足以满足需求。例如，F5公司旗下广受欢迎的网络服务器Nginx不仅作为企业产品出售，同时还提供免费的社区版本。许多创新来自社区，但只有在企业版中才能得到整合和支持。“免费版—企业版”的分层结构是增加市场份额和产品曝光度的常用方法。但是，如果安全改进仅在高级版或企业版中可用，人们可能会出于节省成本考虑而使用安全性较低的版本，从而损害生态的整体安全性。

本报告围绕CISA关心的四个问题分别开展研究并提出相应建议。一是开源软件的安全消费应遵守的规范，包括与上游社区必威体育精装版版本保持一致、用户对软件的修改反馈给上游社区等。二是

从政府角度，鼓励安全消费规范的具体措施，如采购、感知、信息交换所、集中管理等。三是引导商业公司承担更多开源软件安全责任，包括采用管理员模式、推行标准化自动化模板等。四是人工智能系统的开源安全和风险防范，政府使用人工智能大模型应格外谨慎，并应从透明度、可审计性、可重现性等层面衡量并维护人工智能安全。

二、研究背景：开源软件

在过去的几十年里，开源软件得到广泛使用，重要性持续增加，现在已经融入到社会各个方面，创造了大约8万亿美元的总价值。开源软件不仅在计算和在线服务中发挥重要作用，而且在电信、科学、工业控制系统（ICS）、操作技术（OT）和各级政府中发挥着关键作用。根据软件供应链状况报告，大约80～90%的软件是开源的，或者包含开源组件。但在开源软件应用日益广泛的趋势下，软件缺陷和漏洞的后果比过去严重得多，供应链攻击的频率和范围也在不断扩大。共享的软件、工具、供应链和制造商意味着一小段代码中的缺陷会产生广泛的、不可预见的影响。软件开发通过将成千上万个小的、刚性的部分连接起来形成复杂系统，因此任何一个部分的缺陷和问题都会导致整个系统的崩溃。

美国政府、非政府组织和商业公司一直致力于开源安全的维护。政府层面，美各部门为应对关键基础设施对开源软件日益增

长的依赖，已实施多项举措。联邦政府在白宫内设立了国家网络主任办公室（ONCD），出台了开源软件国家战略。美国国土安