2025年，使用開(kāi)源軟件（OSS）的組織面臨的最緊迫問(wèn)題是什么？是網(wǎng)絡(luò)攻擊？成本效益？還是人工智能和新技術(shù)帶來(lái)的顛覆？

在本文中，我將以 CISO 的身份提出我的看法并建議如何解決這些問(wèn)題。

企業(yè)為何在開(kāi)源供應(yīng)鏈方面遇到困難

開(kāi)源軟件 (OSS) 固然出色，但軟件的品質(zhì)取決于其供應(yīng)鏈的安全性。如何做好這一點(diǎn)可能是一個(gè)復(fù)雜的難題，也是大多數(shù)組織都在努力解決的問(wèn)題：我們與 IDC 合作的研究表明，90% 的組織傾向于在操作系統(tǒng)級(jí)別采購(gòu)軟件包，但只有 44% 的組織真正這樣做了。

相反，各大公司都在從各處拉取軟件，而且只有在迫不得已的情況下才會(huì)這么做，從而避免自動(dòng)升級(jí)到最新版本。他們寧愿等到需要新功能或免費(fèi)更新停止時(shí)才更新，本質(zhì)上就是等到系統(tǒng)無(wú)法正常工作為止。

這種方法會(huì)使組織面臨新發(fā)現(xiàn)的漏洞，最終還會(huì)造成更昂貴、更耗時(shí)的工作，因?yàn)榻M織必須執(zhí)行諸如監(jiān)控上游開(kāi)源和掃描漏洞等密集且低效的工作。

管理漏洞的挑戰(zhàn)

修補(bǔ)漏洞本身就很難，但如果您需要滿足市場(chǎng)法規(guī)所需的嚴(yán)格服務(wù)等級(jí)協(xié)議 (SLA)，那就更加困難了。管理各種開(kāi)源軟件 (OSS) 中的漏洞可能非常耗時(shí)，需要熟練的勞動(dòng)力和人工操作。正如每位首席信息安全官 (CISO) 所知，“人工”通常意味著長(zhǎng)期犯錯(cuò)。一旦出現(xiàn)問(wèn)題，可能會(huì)給公司帶來(lái)災(zāi)難：根據(jù) Statistica 的數(shù)據(jù)，截至 2025 年 1 月，僅 17 起數(shù)據(jù)泄露事件就導(dǎo)致了超過(guò) 70 億美元的罰款。

圍繞人工智能的擔(dān)憂

Canonical 的研究表明， 43% 的組織對(duì)其 AI 堆棧的安全保障能力感到擔(dān)憂。 更糟糕的是，60% 的組織幾乎沒(méi)有或僅有基本的安全控制措施來(lái)保護(hù)其 AI/ML 系統(tǒng)。這種風(fēng)險(xiǎn)是不可接受的：不保護(hù)您的 AI 系統(tǒng)會(huì)面臨數(shù)據(jù)包幻覺(jué)攻擊、快速注入甚至寶貴 IP 泄露的風(fēng)險(xiǎn)。

監(jiān)管不斷加強(qiáng)的挑戰(zhàn)

新的網(wǎng)絡(luò)安全法規(guī)正在擾亂市場(chǎng)，許多組織都在努力弄清楚這些法規(guī)對(duì)其運(yùn)營(yíng)和系統(tǒng)意味著什么。

以歐盟《網(wǎng)絡(luò)彈性法案》（CRA）為例。這項(xiàng)新的法規(guī)合規(guī)性意味著數(shù)百萬(wàn)臺(tái)設(shè)備將面臨更嚴(yán)格的網(wǎng)絡(luò)安全要求。這些設(shè)備的制造商需要提供詳細(xì)的文檔、在設(shè)備生命周期內(nèi)持續(xù)提供安全補(bǔ)丁，并長(zhǎng)期報(bào)告和監(jiān)控設(shè)備漏洞。CRA 只是數(shù)十項(xiàng)旨在打擊不安全設(shè)備的網(wǎng)絡(luò)安全法規(guī)之一。應(yīng)對(duì)這一復(fù)雜局面并非易事。

我對(duì)應(yīng)對(duì)這些新挑戰(zhàn)的建議

開(kāi)源領(lǐng)域每天都有新的創(chuàng)新。我們自己的團(tuán)隊(duì)中，有人正在為 5G 和移動(dòng)專用網(wǎng)絡(luò)構(gòu)建具有企業(yè)級(jí)競(jìng)爭(zhēng)力的軟件——這在 10 年前是不可想象的。然而，應(yīng)對(duì)當(dāng)今與開(kāi)源軟件相關(guān)的風(fēng)險(xiǎn)需要戰(zhàn)略性工具、流程成熟度和明智的采購(gòu)決策的結(jié)合。

首先，簡(jiǎn)化軟件包的獲取和管理方式。無(wú)論您是完全基于開(kāi)源軟件 (OSS) 還是混合環(huán)境，目標(biāo)都應(yīng)該是減少零散的采購(gòu)。根據(jù)我的親身經(jīng)驗(yàn)，我發(fā)現(xiàn)一個(gè)有效的策略是從受信任的操作系統(tǒng)級(jí)存儲(chǔ)庫(kù)中提取軟件包，或者與承擔(dān)上游安全性和合規(guī)性責(zé)任的供應(yīng)商合作。

這種方法減輕了修補(bǔ)、合規(guī)性和漏洞監(jiān)控的負(fù)擔(dān)，尤其是在 CRA 等新法規(guī)出臺(tái)的情況下。在 Canonical，我們致力于直接滿足 CRA 制造商的要求，旨在幫助下游組織在不犧牲靈活性的情況下轉(zhuǎn)移合規(guī)責(zé)任。這一點(diǎn)在開(kāi)源社區(qū)中的重要性不容低估，因?yàn)槭澜缟弦恍┳钪匾能浖蕾囉谀切](méi)有時(shí)間或資源來(lái)滿足繁瑣網(wǎng)絡(luò)安全法規(guī)的小型社區(qū)。

我的工作涉及直接監(jiān)督在團(tuán)隊(duì)工作流程中啟用某些 AI 工具之前所需的安全評(píng)估。因此，我發(fā)現(xiàn)刻意關(guān)注 AI 安全態(tài)勢(shì)尤為重要。在將 AI 工具集成到生產(chǎn)工作流程之前，請(qǐng)進(jìn)行正式評(píng)估，以了解它將接觸哪些系統(tǒng)、將處理哪些數(shù)據(jù)，以及其行為如何與現(xiàn)有安全控制措施保持一致。不要操之過(guò)急——規(guī)劃出有針對(duì)性的用例，并進(jìn)行試點(diǎn)，設(shè)置安全護(hù)欄。只要配合嚴(yán)格的盡職調(diào)查和明確界定的結(jié)果，實(shí)驗(yàn)性采用也是可以的。

最后，請(qǐng)記住，創(chuàng)新不必以犧牲安全性或合規(guī)性為代價(jià)。無(wú)論您是在構(gòu)建邊緣網(wǎng)絡(luò)、搭建云平臺(tái)還是管理機(jī)器學(xué)習(xí)管道，OSS 都能加速開(kāi)發(fā)并降低成本——但前提是必須與規(guī)范的實(shí)施相結(jié)合。我們已經(jīng)看到一些組織在現(xiàn)有基礎(chǔ)架構(gòu)上使用 OpenStack 和 MicroCloud 等工具，將云費(fèi)用削減了高達(dá) 76%。但真正的勝利在于，這種成本效益與安全、治理良好且經(jīng)得起審查的實(shí)踐相結(jié)合。

結(jié)論

為了在2025年及以后保持競(jìng)爭(zhēng)力，企業(yè)必須將開(kāi)源安全與合規(guī)視為戰(zhàn)略能力，而非事后諸葛亮。這意味著企業(yè)必須采用清晰的軟件采購(gòu)、修補(bǔ)和評(píng)估流程，尤其是在人工智能應(yīng)用日益普及、監(jiān)管日益嚴(yán)格的情況下。

無(wú)論您是想降低成本、提高可擴(kuò)展性，還是想駕馭 CRA 之類的框架，安全的開(kāi)源實(shí)踐都能帶來(lái)真正的運(yùn)營(yíng)優(yōu)勢(shì)。但這些優(yōu)勢(shì)只有與有針對(duì)性的治理、智能工具以及對(duì)風(fēng)險(xiǎn)面的深入了解相結(jié)合才能實(shí)現(xiàn)。遵循這些建議，您可以更好地確保自己已做好準(zhǔn)備，應(yīng)對(duì)這些挑戰(zhàn)以及更多挑戰(zhàn)。