Ciência e Tecnologia Repórter diário Liu Yuanyuan
Quantos softwares abriu hoje?
Fomos despertados pelo software, usamos o software para pegar um táxi, pedir comida, fazer compras, realizar trabalhos com a ajuda de vários softwares, e dormimos à noite ouvindo a música no software. Todos os tipos de software são convenientes, rápidos, eficientes, até mesmo interessantes e divertidos, o que nos faz amá-lo. Mas estão seguros?
Nas duas sessões do Congresso Nacional do Povo deste ano, vários representantes e membros do campo da Internet soaram o alarme: hoje, quando o software pode ser tocado com os dedos, os riscos de segurança por trás dele precisam ser reforçados.
em média, existem cerca de 158 vulnerabilidades por base de código
“Mais de 90% dos sistemas operacionais de servidores em nuvem e mais de 80% dos sistemas operacionais móveis em todo o mundo são baseados em software de código aberto.” Zhou Hongyi, membro do Comitê Nacional do CPPCC e fundador do grupo 360, prestou atenção especial aos riscos de segurança do software de código aberto este ano.
Na visão de Zhou Hongyi, desde que seja escrito por pessoas, deve haver brechas no software, e software de código aberto não é exceção. Ele introduziu que existem cerca de 158 vulnerabilidades em cada base de código em média, que serão herdadas, o que afetará a segurança do próprio software.
“A indústria moderna de software é altamente dependente da existência de sistema de código aberto. O código aberto e seus serviços de hospedagem de código tornaram-se uma parte importante do sistema de engenharia de segurança de software.” Xiao Xinguang, membro do Comitê Nacional da Conferência Consultiva Política do Povo Chinês e fundador do grupo Antan, também prestou muita atenção a isso.
Xiao Xinguang disse que, nos últimos anos, houve muitos incidentes de segurança, como vulnerabilidades de software de código aberto, poluição de projetos de código aberto e exclusão de código do mantenedor; A situação em que os países relevantes utilizam plataformas open source como meio de sanções contra outros países merece mais vigilância.
“Os desenvolvedores de software de código aberto vêm de diferentes países e origens, e o acesso para visualizar, modificar e aumentar o código fonte é relativamente aberto, o que é fácil de ser implantado na ‘porta traseira’. Ao mesmo tempo, muitos dos códigos de código aberto na indústria são usados diretamente ou apenas reparos menores, então é fácil enterrar riscos desconhecidos de segurança.” Zhou Hongyi disse.
O que preocupa Zhou Hongyi é que os sistemas rodando em Bank Of China Limited(601988) , energia, defesa nacional, tratamento médico, energia elétrica e outras indústrias importantes usam muito software de código aberto. Devido à abertura ecológica do software de código aberto, há um grande número de riscos de vulnerabilidade de segurança, que, se explorados maliciosamente, podem abalar a segurança da infraestrutura de informações chave da China.
conduzir “mapeamento” da infraestrutura de informação chave
Na verdade, não só o software de código aberto, mas também os riscos de segurança em todo o campo de software não podem ser ignorados.
“O processo moderno de desenvolvimento e entrega de software é extremamente complexo, envolvendo ambiente de compilação e várias bibliotecas de classe, código aberto, pacotes de desenvolvimento público, middleware, etc. o processo de entrega de software envolve relacionamentos de suporte complexos.” Xiao Xinguang mencionou que a falta de transparência dos componentes e dependências de software e a falta de suporte ao mecanismo de verificação de segurança dificultam o rastreamento do escopo de impacto de defeitos de software e ameaças ocultas.
Por outro lado, Xiao Xinguang apontou que, atualmente, os padrões de segurança e especificações do desenvolvimento de software estão atrasados e não podem cobrir todo o ciclo de vida. Ainda há grande espaço para melhorias no planejamento de software, definição de requisitos, design e desenvolvimento e correspondente teste e verificação. O mecanismo de salvaguarda e padrão para segurança de software ainda não formaram um sistema unificado.
Perante essas situações e problemas atuais, representantes e membros apresentam muitas contramedidas.
Zhou Hongyi sugeriu que deveríamos realizar uma pesquisa geral da infraestrutura de informação chave e sistemas de informação importantes, descobrir o “background familiar” do uso de software de código aberto, compreender com precisão seu tipo, protocolo, fonte e outras informações básicas, escavar vulnerabilidades do sistema e definir o gerenciamento de riscos de segurança.
“Sugere-se estabelecer um sistema de responsabilidade de segurança para as empresas de software e deixar claro que as empresas de software devem realizar todo o ciclo de vida da gestão da segurança do software de código aberto.” Zhou Hongyi também propôs incentivar os desenvolvedores China National Software And Service Company Limited(600536) a participar ativamente da comunidade internacional de código aberto e promover a mineração de vulnerabilidades de software internacional de código aberto.
“Sugere-se que o departamento competente assuma a liderança no estabelecimento de um mecanismo para promover a transparência da cadeia de fornecimento de software em indústrias-chave, ao mesmo tempo que a capacidade de detecção e verificação correspondente deve ser considerada como um requisito obrigatório para software, equipamentos e sistemas-chave.” Xiao Xinguang disse.
Xiao Xinguang acrescentou que, ao acelerar a construção da ecologia de código aberto na indústria de software, devemos promover uma série de projetos especiais, fortalecer a segurança ecológica de código aberto e segurança ecológica de software e estabelecer um mecanismo de monitoramento de segurança correspondente. Além disso, uma série de recomendações de Engenharia e requisitos obrigatórios com segurança de software como objetivo principal também deve ser formulada.
