近几年开源技术快速发展,在众多新兴技术领域逐渐形成主流。我国企业在参与国际开源项目,跟随主流开源技术的同时,更多的开始发起原创开源项目,逐步探索引领开源的可能。与此同时,开源项目及社区应遵循哪些规范成为用户和项目发起方共同关注的焦点。
为规范开源项目健康发展,同时为用户企业选择开源软件提供有力参考,2019年中国信通院联合开源治理领域诸位专家共同研究探讨,编写完成了面向社区版开源项目的相关标准规范。 2020年上半年中国信通院已完成首批可信开源项目评估工作,经过报名、项目自评、技术测试、远程审查等一系列流程,我们在2020年6月5日举办“OSCAR,开源先锋日—云原生专场”直播中,公布了通过首批可信开源项目评估的四款开源项目!他们分别是: DevOps研发平台腾讯蓝鲸CI(BKCI)、高性能RPC开发框架TARS、分布式数据库中间件ShardingSphere和消息中间件RocketMQ。 2019年下半年,中国信通院从用户企业的实际需求出发,牵头起草了针对社区版开源项目的《开源项目选型参考框架》标准,并联合国内30余家银行和科技企业,经过4次激烈研讨,共同完成了标准的编制工作。 目前,该标准已在中国通信标准化协会(CCSA)成功立项,并进入送审稿阶段。该标准针对开源发起方对开源项目的审核和支持不完善等问题,深入调研用户企业开源软件选型的实际需求,重点关注开源项目在许可证合规性、软件安全性、软件活跃度、技术成熟度、服务支持力和软件兼容性六个方面应遵循的规范,涉及18项具体指标,为企业用户选择开源软件提供辅助参考。更多相关信息,请关注本次专辑…… 上个月,美国商务部宣布将新增 33 家中国公司及机构列入“实体清单”,除了奇虎360、云从科技、烽火科技等企业外,还包括中国公安部法医科学研究所等政府相关机构,以及哈尔滨工业大学和哈尔滨工程大学两所高校。
至此,中国大陆共有 13 所高校被列入该实体清单,除上述两所外,还有:中国人民大学、北京航空航天大学、西安交通大学、西北工业大学、四川大学、电子科技大学、湖南大学、国防科技大学、同济大学、南昌大学、广东工业大学。 这些高校将被美国《出口管理条例》限制出口、进口或转口,无法和美国进行任何商业交易,在获得美国科技方面面临新的限制。它们和去年被列入清单的华为、中兴等中国企业一样,和美国企业之间的进出口业务需要美国政府的批准,也就是所谓的“技术制裁”。 迫于政府的压力,MATLAB 所属公司 MathWorks 被迫中止对这些国内高校的正版授权。虽说能上这份清单的组织机构都不简单,至少证明其科研实力得到了美国的重视。但当这些我们常用的基础软件真的被别人卡脖子时,其带来的负面影响还是肉眼可见的。 MATLAB 是矩阵实验室(Matrix Laboratory)的简称,由美国 MathWorks 公司出品,是一种高级技术计算语言和交互式环境集成软件,由 MATLAB 和 Simulink 两大部分组成,广泛应用于算法开发、数据可视化、数据分析、仿真建模以及数值计算,在工业制造、学术研究等领域具有近乎垄断的市场地位。 大学读理工科专业的同学基本上都接触过这款软件。有分析人士指出,如果整个学校被禁用了正版 MATLAB,这意味着学校的人员再发表论文或者从事商业项目,其成果原则上就不应包含任何基于 MATLAB 的内容,这对国内相关企业和研究学者带来的影响不可忽视。 而随着 MATLAB 在国内高校被禁用,一些类似 MATLAB 的开源软件开始重获关注。SCILAB 是一款与 MATLAB 类似的开源软件,可以实现 MATLAB 上所有基本的功能,如科学计算、矩阵处理及图形显示等。更多替代软件,请大家关注本次专辑…… 一项分析前54个开源项目的研究发现,这些工具中的安全漏洞在2019年翻了一番,从2018年的421个bug到去年的968个。根据RiskSense今天发布的 "开源的黑暗现实 "报告,该公司在2015年至2020年3月期间发现流行的开源项目中报告了2694个bug。
该报告并不包括Linux、WordPress、Drupal等超级流行的免费工具项目,因为这些项目经常受到监控,安全bug也会成为新闻,确保这些安全问题大多能相当快地得到修补。相反,RiskSense观察了其他流行的开源项目,这些项目并不那么知名,但被技术和软件社区广泛采用。其中包括Jenkins、MongoDB、Elasticsearch、Chef、GitLab、Spark、Puppet等工具。 RiskSense表示,他们在研究过程中发现的一个主要问题是,他们分析的大量安全漏洞在公开披露后许多周后才被报告到国家漏洞数据库(NVD)。该公司表示,这54个项目中发现的bug通常平均需要54天左右时间才会被报告给NVD,其中PostgreSQL的报告延迟时间达到了8个月。由于网络安全和IT软件公司使用NVD数据库来创建和发送安全警报,报告延迟导致使用这些开源项目的公司仍然暴露在攻击面前。 RiskSense表示,自2015年以来,在其分析的所有54个项目中,Jenkins自动化服务器和MySQL数据库服务器的武器化漏洞最多,均为15个。虽然其他开源项目的bug较少,但这些bug有时更容易被武器化,例如Vagrant虚拟化软件和Alfresco内容管理系统当中的bug。 RiskSense认为,现在不仅需要改进开源项目内部处理安全漏洞的方式,而且需要整个行业进行改进,因为 开源项目正在以历史性的速度产生新漏洞。更多相关信息,请关注本次专辑…… |
