一种开源软件安全管理方法和装置

本发明涉及安全领域，更具体地，特别是指一种开源软件安全管理方法和装置。

开源软件在软件研发领域非常流行，具有开放、自由、共享等特性，开源软件也因此受到国内外企业、商业机构、研发人员、高校和科研单位的广泛青睐，在搭建业务应用系统时都会优先考虑加入开源软件，可省去不少重复的工作量，大大提升研发效率。

在开源软件为使用者提供便利的同时，其潜在的安全问题也备受关注。首先是合规问题，开源软件虽然是公开源代码，但公开不等于免费，每个开源软件都有对应的开源许可证协议，常见的如：GPL、LGPL、MPL、BSD、MIT和Apache，开源许可证协议中规定了开源软件的使用、修改、分享和分布等细则，如使用不当或违反条例可能会被追究法律责任，还有部分开源软件涉及出口管制问题，如开源软件或所属基金会被限制对外提供服务，这种情况下也是不可以直接使用的。

其次是安全漏洞，在开源软件使用过程中，一些安全事件皆因开源软件漏洞所致，如心脏出血漏洞导致全球互联网大量私钥和其他加密信息处于暴露危险下，Struts开源软件漏洞导致美国征信巨头Equifax发生数据泄露，以及Redis未授权访问漏洞导致服务器挖矿事件频发等等不胜枚举。

最后，开源软件还可能存在专利和知识产权侵权等风险，如开源贡献者或使用者可能将开源软件其中某项技术申请专利并获得批准，或者开源软件中包含专利但未作明示等，这些情况都存在侵权的可能性。虽然开源软件存在诸多隐患，但目前大多数企业尚未建立起一套行之有效的安全管理措施，开源风险识别能力较弱，在后期应对生产环境安全问题上付出了不小的成本和代价。

针对现有技术中开源软件安全风险高、难以管理的问题，目前尚无有效的解决方案。

有鉴于此，本发明实施例的目的在于提出一种开源软件安全管理方法和装置，能够有效控制开源软件的引入和使用，标识开源软件的安全状态，保障安全合规的使用开源软件。

基于上述目的，本发明实施例的第一方面提供了一种开源软件安全管理方法，包括执行以下步骤：

检索目标开源软件是否被列入开源库清单中，响应于未被列入而扫描目标开源软件并生成安全报告，且将目标开源软件和安全报告存入开源软件仓库的临时目录；

针对目标开源软件提出技术评审申请并进行技术评审；

响应于技术评审通过，针对目标开源软件提出安全评审申请，由安全评审为目标开源软件设置安全标签，并将目标开源软件从临时目录转入开源软件仓库的正式目录；

实时监测目标开源软件，并响应于目标开源软件出现漏洞而基于漏洞的级别而改变安全标签，并选择性地启动应急响应。

在一些实施方式中，还包括：响应于扫描目标开源软件生成的安全报告中包括安全问题，而解决安全问题并重新扫描目标开源软件，直到生成的安全报告不包括安全问题。

在一些实施方式中，还包括：响应于由技术评审从临时目录获取目标开源软件，并确定目标开源软件具有需求合理性、满足选型条件、并且满足开源管理需求，而通过技术评审申请。

在一些实施方式中，还包括：由安全评审从临时目录获取目标开源软件和安全报告，并基于目标开源软件和安全报告所公开的合规风险程度，而为目标开源软件设置以下之一的安全标签：优选、非优选、禁选。

在一些实施方式中，还包括：在将目标开源软件从临时目录转入开源软件仓库的正式目录的同时，发出公告并将目标开源软件纳入开源库清单。

在一些实施方式中，基于漏洞的级别而改变安全标签包括：响应于漏洞的级别为高危漏洞而将安全标签调整为禁选；响应于漏洞的级别为中低危漏洞而将安全标签调整为非优选；选择性地启动应急响应包括：响应于漏洞的级别为高危漏洞而启动应急响应；响应于漏洞的级别为中低危漏洞而不启动应急响应。

在一些实施方式中，启动应急响应包括：收集受影响的产品和/或服务清单并发布安全公告、确定漏洞修复日期、确定在修复日期前使用的替代性开源软件。

本发明实施例的第二方面提供了一种开源软件安全管理装置，包括：

处理器；和

存储器，存储有处理器可运行的程序代码，程序代码在被运行时执行以下步骤：

检索目标开源软件是否被列入开源库清单中，响应于未被列入而扫描目标开源软件并生成安全报告，且将目标开源软件和安全报告存入开源软件仓库的临时目录；

针对目标开源软件提出技术评审申请并进行技术评审；

响应于技术评审通过，针对目标开源软件提出安全评审申请，由安全评审为目标开源软件设置安全标签，并将目标开源软件从临时目录转入开源软件仓库的正式目录；

实时监测目标开源软件，并响应于目标开源软件出现漏洞而基于漏洞的级别而改变安全标签，并选择性地启动应急响应。

在一些实施方式中，步骤还包括：响应于扫描目标开源软件生成的安全报告中包括安全问题，而解决安全问题并重新扫描目标开源软件，直到生成的安全报告不包括安全问题；响应于由技术评审从临时目录获取目标开源软件，并确定目标开源软件具有需求合理性、满足选型条件、并且满足开源管理需求，而通过技术评审申请。

在一些实施方式中，基于漏洞的级别而改变安全标签包括：响应于漏洞的级别为高危漏洞而将安全标签调整为禁选；响应于漏洞的级别为中低危漏洞而将安全标签调整为非优选；

选择性地启动应急响应包括：响应于漏洞的级别为高危漏洞而启动应急响应；响应于漏洞的级别为中低危漏洞而不启动应急响应；

启动应急响应包括：收集受影响的产品和/或服务清单并发布安全公告、确定漏洞修复日期、确定在修复日期前使用的替代性开源软件。

本发明具有以下有益技术效果：本发明实施例提供的开源软件安全管理方法和装置，通过检索目标开源软件是否被列入开源库清单中，响应于未被列入而扫描目标开源软件并生成安全报告，且将目标开源软件和安全报告存入开源软件仓库的临时目录；针对目标开源软件提出技术评审申请并进行技术评审；响应于技术评审通过，针对目标开源软件提出安全评审申请，由安全评审为目标开源软件设置安全标签，并将目标开源软件从临时目录转入开源软件仓库的正式目录；实时监测目标开源软件，并响应于目标开源软件出现漏洞而基于漏洞的级别而改变安全标签，并选择性地启动应急响应的技术方案，能够有效控制开源软件的引入和使用，标识开源软件的安全状态，保障安全合规的使用开源软件。

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明提供的开源软件安全管理方法的流程示意图；

图2为本发明提供的开源软件安全管理方法的平台架构示意图；

图3为本发明提供的开源软件安全管理方法的入库流程示意图；

图4为本发明提供的开源软件安全管理方法的漏洞管理示意图。

为使本发明的目的、技术方案和优点更加清楚明白，以下结合具体实施例，并参照附图，对本发明实施例进一步详细说明。

需要说明的是，本发明实施例中所有使用“第一”和“第二”的表述均是为了区分两个相同名称非相同的实体或者非相同的参量，可见“第一”“第二”仅为了表述的方便，不应理解为对本发明实施例的限定，后续实施例对此不再一一说明。

基于上述目的，本发明实施例的第一个方面，提出了一种保障安全合规的使用开源软的开源软件安全管理方法的一个实施例。图1示出的是本发明提供的开源软件安全管理方法的流程示意图。

所述的开源软件安全管理方法，如图1所示，包括执行以下步骤：

步骤S101，检索目标开源软件是否被列入开源库清单中，响应于未被列入而扫描目标开源软件并生成安全报告，且将目标开源软件和安全报告存入开源软件仓库的临时目录；

步骤S103，针对目标开源软件提出技术评审申请并进行技术评审；

步骤S105，响应于技术评审通过，针对目标开源软件提出安全评审申请，由安全评审为目标开源软件设置安全标签，并将目标开源软件从临时目录转入开源软件仓库的正式目录；

步骤S107，实时监测目标开源软件，并响应于目标开源软件出现漏洞而基于漏洞的级别而改变安全标签，并选择性地启动应急响应。

本发明通过搭建开源软件库平台来统一管理企业内部使用的开源软件，并提出一套开源软件安全管理办法，即企业所有使用的开源软件都必须从安全可信的内部开源软件库中选取，外部开源软件入库需提交申请并通过工具扫描+人工审核的方式识别并解决开源软件存在的安全问题，确保入库的开源软件都是安全可靠的，并且在审核过程中针对不同开源License(许可证)给予使用指导和建议，入库后通过实时漏洞监测及应急响应方式来保障正在使用的开源软件的安全，并通过安全标签来标识开源软件的安全状态，有效降低开源软件自身安全问题带来的风险。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，可以通过计算机程序来指令相关硬件来完成，所述的程序可存储于一计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，所述的存储介质可为磁碟、光盘、只读存储记忆体(ROM)或随机存储记忆体(RAM)等。所述计算机程序的实施例，可以达到与之对应的前述任意方法实施例相同或者相类似的效果。

在一些实施方式中，方法还包括：响应于扫描目标开源软件生成的安全报告中包括安全问题，而解决安全问题并重新扫描目标开源软件，直到生成的安全报告不包括安全问题。

在一些实施方式中，方法还包括：响应于由技术评审从临时目录获取目标开源软件，并确定目标开源软件具有需求合理性、满足选型条件、并且满足开源管理需求，而通过技术评审申请。

在一些实施方式中，方法还包括：由安全评审从临时目录获取目标开源软件和安全报告，并基于目标开源软件和安全报告所公开的合规风险程度，而为目标开源软件设置以下之一的安全标签：优选、非优选、禁选。

在一些实施方式中，方法还包括：在将目标开源软件从临时目录转入开源软件仓库的正式目录的同时，发出公告并将目标开源软件纳入开源库清单。

在一些实施方式中，基于漏洞的级别而改变安全标签包括：响应于漏洞的级别为高危漏洞而将安全标签调整为禁选；响应于漏洞的级别为中低危漏洞而将安全标签调整为非优选；选择性地启动应急响应包括：响应于漏洞的级别为高危漏洞而启动应急响应；响应于漏洞的级别为中低危漏洞而不启动应急响应。

在一些实施方式中，启动应急响应包括：收集受影响的产品和/或服务清单并发布安全公告、确定漏洞修复日期、确定在修复日期前使用的替代性开源软件。

下面根据具体实施例进一步阐述本发明的具体实施方式。

首先搭建开源软件库平台，架构如附图2所示，包括以下组成部分：

1)设备层

作为平台基础设施为上层提供硬件设备资源，位于整体架构的设备层，包含物理服务器、磁盘阵列存储设备、网络通信设备等。

2)虚拟化层

基于虚拟化、容器等技术提供平台的搭建环境，如使用裸机、KVM/Xen/VMware等虚拟机、Docker容器来建立开源软件管理平台，除此以外，还包括通过虚拟化技术形成的虚拟资源池，以及镜像/快照管理、资源调度和主机监控的集中管理和调度程序。

3)持久层

搭建开源软件仓库，用于存放开源软件源码、二进制包以及文档资料的数据库，在物理服务器上使用SVN/Git等代码管理工具搭建，可直接在裸机搭建也可创建在虚拟机和容器中，需考虑可扩展性、稳定性以及网络可达等要求，仓库容量大小建议至少3T以上，还要预留空间将来扩容，软件仓库使用主备HA方式部署，并定期备份数据。仓库中按开源软件类别进行分类存储，对外提供下载链接并开放权限，默认所有研发可以访问。

4)业务层

涉及开源软件引入审核的流程都在业务层进行处理，基于PLM/PDM或其他具备流程审批功能的软件上定制开源软件入库审批流程，包括技术评审和安全评审两级审批，涉及三类角：

①研发：对需要引入的开源软件，提出入库申请

②管理员：流程的主要审批人，负责技术评审，判断需求的合理性，如信息是否有误，是否满足选型条件，是否满足开源管理需求等

③安全：负责开源软件的安全审批，检查开源软件的许可证合规风险、使用限制、知识产权风险、安全漏洞等

5)展现层

包括查询页面和信息发布页面两部分：

a)查询页面

提供Web查询页面供研发检索已入库开源软件，查询对象为软件仓库，页面上方显示检索筛选条件，下方显示检索结果列表，列表中默认展示所有入库的开源软件，可导出Excel格式的开源软件清单，开源软件包含以下字段：

软件名称，取值：用户输入

软件简介，取值：用户输入

软件版本，取值，用户输入

支撑平台，取值：类Unix、Windows、Android等

软件下载链接，取值：软件仓库中的软件地址或外网链接

扫描报告，取值：BlackDuck/FOSSID等工具生成的扫描报告

提交人，取值：研发人员名单

提交人所属部门，取值：所有研发部门

入库时间，取值：日历控件

入库状态，取值：审核中、已入库、未通过

软件类别，取值：预定义

安全标签，取值：优选、非优选、禁选

所属国家，取值：国家名

编程语言，取值：C/C++、Java、Python、Ruby、Go等

版权协议，取值：GPL、BSD、Apache、MIT等

软件形态，取值：源码、二进制等

b)信息发布页面

Web页面或信息系统首页嵌入模块，发布开源软件入库、版本更新、漏洞修复等公告，提供开源软件库实时动态信息，由管理员负责维护，公告范围需至少覆盖所有开源库使用者和维护者。

基于搭建好的开源平台，首先以图2所示的方法入库。研发通过查询页面检索目标开源软件是否已在开源库清单中，如已存在，通过提供的下载地址获取软件；如不存在，研发可自行在网上搜索并下载开源软件，并使用BlackDuck/FOSSID等工具进行安全扫描并生成报告，如发现安全问题需要研发进行处理并清零，然后将开源软件上传至软件仓库的临时目录，如存在误报或因特殊原因无法修复的问题需单独提交说明，并在流程审批平台提交入库审核流程附带扫描报告及说明文件。

管理员收到研发提交的申请后，组织技术评审，并给出审批意见，通过则转入下一环节安全审批。

安全审批人查阅扫描报告，确认所有安全问题已清零，判断有无合规风险，针对不同开源License给出限制说明、使用建议及风险提示，以开源软件使用指南方式存储于软件仓库供研发获取查阅，降低使用开源过程中的合规风险。安全审批人根据开源软件的综合安全情况给其打上安全标签，包括：优选(推荐使用)、非优选(不推荐使用)、禁选(禁止使用)三种，安全标签随时间推移可能发生变化。安全审批人审批通过后，通知管理员审批结束，进入软件入库和发布环节。

管理员收到流程结束通知，将研发提交到临时目录的开源软件按分类上传至软件仓库正式目录，流程正式结束，系统自动发送邮件通知研发开源软件已入库。管理员在信息发布页面发布一则通知，公告所有人新入库开源软件的消息，查询页面可检索信息自动更新。

开源软件入库后，如图3所示地进入管理维护周期。安全人员实时监测开源库中的软件漏洞，如发现新增漏洞则及时告知管理员，并根据漏洞级别相应调整安全标签属性，如高危安全漏洞标记为禁选，中低危漏洞标记为非优选，无漏洞为优选。管理员验证发现的开源软件漏洞，并根据漏洞级别判断是否启动应急响应流程，如启动应急响应需要收集影响产品清单并对外发布安全公告，并在规定日期内完成漏洞的修复，产品线在此期间需替换有问题的开源软件或使用临时方案来降低存在的风险，待应急响应团队发布漏洞修复补丁后进行补丁升级，管理员在信息发布平台发布漏洞修复通知，安全人员再次调整安全标签。如不启动应急响应，则没有修复时间要求，仅通过安全标签变化和信息发布平台的通知来提示风险。

从上述实施例可以看出，本发明实施例提供的开源软件安全管理方法，通过检索目标开源软件是否被列入开源库清单中，响应于未被列入而扫描目标开源软件并生成安全报告，且将目标开源软件和安全报告存入开源软件仓库的临时目录；针对目标开源软件提出技术评审申请并进行技术评审；响应于技术评审通过，针对目标开源软件提出安全评审申请，由安全评审为目标开源软件设置安全标签，并将目标开源软件从临时目录转入开源软件仓库的正式目录；实时监测目标开源软件，并响应于目标开源软件出现漏洞而基于漏洞的级别而改变安全标签，并选择性地启动应急响应的技术方案，能够有效控制开源软件的引入和使用，标识开源软件的安全状态，保障安全合规的使用开源软件。

需要特别指出的是，上述开源软件安全管理方法的各个实施例中的各个步骤均可以相互交叉、替换、增加、删减，因此，这些合理的排列组合变换之于开源软件安全管理方法也应当属于本发明的保护范围，并且不应将本发明的保护范围局限在所述实施例之上。

基于上述目的，本发明实施例的第二个方面，提出了一种保障安全合规的使用开源软的开源软件安全管理装置的一个实施例。开源软件安全管理装置包括：

处理器；和

存储器，存储有处理器可运行的程序代码，程序代码在被运行时执行以下步骤：

检索目标开源软件是否被列入开源库清单中，响应于未被列入而扫描目标开源软件并生成安全报告，且将目标开源软件和安全报告存入开源软件仓库的临时目录；

针对目标开源软件提出技术评审申请并进行技术评审；

响应于技术评审通过，针对目标开源软件提出安全评审申请，由安全评审为目标开源软件设置安全标签，并将目标开源软件从临时目录转入开源软件仓库的正式目录；

实时监测目标开源软件，并响应于目标开源软件出现漏洞而基于漏洞的级别而改变安全标签，并选择性地启动应急响应。

在一些实施方式中，步骤还包括：响应于扫描目标开源软件生成的安全报告中包括安全问题，而解决安全问题并重新扫描目标开源软件，直到生成的安全报告不包括安全问题；响应于由技术评审从临时目录获取目标开源软件，并确定目标开源软件具有需求合理性、满足选型条件、并且满足开源管理需求，而通过技术评审申请。

在一些实施方式中，基于漏洞的级别而改变安全标签包括：响应于漏洞的级别为高危漏洞而将安全标签调整为禁选；响应于漏洞的级别为中低危漏洞而将安全标签调整为非优选；

选择性地启动应急响应包括：响应于漏洞的级别为高危漏洞而启动应急响应；响应于漏洞的级别为中低危漏洞而不启动应急响应；

启动应急响应包括：收集受影响的产品和/或服务清单并发布安全公告、确定漏洞修复日期、确定在修复日期前使用的替代性开源软件。

从上述实施例可以看出，本发明实施例提供的开源软件安全管理装置，通过检索目标开源软件是否被列入开源库清单中，响应于未被列入而扫描目标开源软件并生成安全报告，且将目标开源软件和安全报告存入开源软件仓库的临时目录；针对目标开源软件提出技术评审申请并进行技术评审；响应于技术评审通过，针对目标开源软件提出安全评审申请，由安全评审为目标开源软件设置安全标签，并将目标开源软件从临时目录转入开源软件仓库的正式目录；实时监测目标开源软件，并响应于目标开源软件出现漏洞而基于漏洞的级别而改变安全标签，并选择性地启动应急响应的技术方案，能够有效控制开源软件的引入和使用，标识开源软件的安全状态，保障安全合规的使用开源软件。

需要特别指出的是，上述开源软件安全管理装置的实施例采用了所述开源软件安全管理方法的实施例来具体说明各模块的工作过程，本领域技术人员能够很容易想到，将这些模块应用到所述开源软件安全管理方法的其他实施例中。当然，由于所述开源软件安全管理方法实施例中的各个步骤均可以相互交叉、替换、增加、删减，因此，这些合理的排列组合变换之于所述开源软件安全管理装置也应当属于本发明的保护范围，并且不应将本发明的保护范围局限在所述实施例之上。

以上是本发明公开的示例性实施例，但是应当注意，在不背离权利要求限定的本发明实施例公开的范围的前提下，可以进行多种改变和修改。根据这里描述的公开实施例的方法权利要求的功能、步骤和/或动作不需以任何特定顺序执行。此外，尽管本发明实施例公开的元素可以以个体形式描述或要求，但除非明确限制为单数，也可以理解为多个。

所属领域的普通技术人员应当理解：以上任何实施例的讨论仅为示例性的，并非旨在暗示本发明实施例公开的范围(包括权利要求)被限于这些例子；在本发明实施例的思路下，以上实施例或者不同实施例中的技术特征之间也可以进行组合，并存在如上所述的本发明实施例的不同方面的许多其它变化，为了简明它们没有在细节中提供。因此，凡在本发明实施例的精神和原则之内，所做的任何省略、修改、等同替换、改进等，均应包含在本发明实施例的保护范围之内。