2025年，使用開源軟件（OSS）的組織面臨的最緊迫問題是什么？是網(wǎng)絡攻擊？成本效益？還是人工智能和新技術帶來的顛覆？

在本文中，我將以 CISO 的身份提出我的看法并建議如何解決這些問題。

企業(yè)為何在開源供應鏈方面遇到困難

開源軟件 (OSS) 固然出色，但軟件的品質(zhì)取決于其供應鏈的安全性。如何做好這一點可能是一個復雜的難題，也是大多數(shù)組織都在努力解決的問題：我們與 IDC 合作的研究表明，90% 的組織傾向于在操作系統(tǒng)級別采購軟件包，但只有 44% 的組織真正這樣做了。

相反，各大公司都在從各處拉取軟件，而且只有在迫不得已的情況下才會這么做，從而避免自動升級到最新版本。他們寧愿等到需要新功能或免費更新停止時才更新，本質(zhì)上就是等到系統(tǒng)無法正常工作為止。

這種方法會使組織面臨新發(fā)現(xiàn)的漏洞，最終還會造成更昂貴、更耗時的工作，因為組織必須執(zhí)行諸如監(jiān)控上游開源和掃描漏洞等密集且低效的工作。

管理漏洞的挑戰(zhàn)

修補漏洞本身就很難，但如果您需要滿足市場法規(guī)所需的嚴格服務等級協(xié)議 (SLA)，那就更加困難了。管理各種開源軟件 (OSS) 中的漏洞可能非常耗時，需要熟練的勞動力和人工操作。正如每位首席信息安全官 (CISO) 所知，“人工”通常意味著長期犯錯。一旦出現(xiàn)問題，可能會給公司帶來災難：根據(jù) Statistica 的數(shù)據(jù)，截至 2025 年 1 月，僅 17 起數(shù)據(jù)泄露事件就導致了超過 70 億美元的罰款。

圍繞人工智能的擔憂

Canonical 的研究表明， 43% 的組織對其 AI 堆棧的安全保障能力感到擔憂。 更糟糕的是，60% 的組織幾乎沒有或僅有基本的安全控制措施來保護其 AI/ML 系統(tǒng)。這種風險是不可接受的：不保護您的 AI 系統(tǒng)會面臨數(shù)據(jù)包幻覺攻擊、快速注入甚至寶貴 IP 泄露的風險。

監(jiān)管不斷加強的挑戰(zhàn)

新的網(wǎng)絡安全法規(guī)正在擾亂市場，許多組織都在努力弄清楚這些法規(guī)對其運營和系統(tǒng)意味著什么。

以歐盟《網(wǎng)絡彈性法案》（CRA）為例。這項新的法規(guī)合規(guī)性意味著數(shù)百萬臺設備將面臨更嚴格的網(wǎng)絡安全要求。這些設備的制造商需要提供詳細的文檔、在設備生命周期內(nèi)持續(xù)提供安全補丁，并長期報告和監(jiān)控設備漏洞。CRA 只是數(shù)十項旨在打擊不安全設備的網(wǎng)絡安全法規(guī)之一。應對這一復雜局面并非易事。

我對應對這些新挑戰(zhàn)的建議

開源領域每天都有新的創(chuàng)新。我們自己的團隊中，有人正在為 5G 和移動專用網(wǎng)絡構建具有企業(yè)級競爭力的軟件——這在 10 年前是不可想象的。然而，應對當今與開源軟件相關的風險需要戰(zhàn)略性工具、流程成熟度和明智的采購決策的結合。

首先，簡化軟件包的獲取和管理方式。無論您是完全基于開源軟件 (OSS) 還是混合環(huán)境，目標都應該是減少零散的采購。根據(jù)我的親身經(jīng)驗，我發(fā)現(xiàn)一個有效的策略是從受信任的操作系統(tǒng)級存儲庫中提取軟件包，或者與承擔上游安全性和合規(guī)性責任的供應商合作。

這種方法減輕了修補、合規(guī)性和漏洞監(jiān)控的負擔，尤其是在 CRA 等新法規(guī)出臺的情況下。在 Canonical，我們致力于直接滿足 CRA 制造商的要求，旨在幫助下游組織在不犧牲靈活性的情況下轉移合規(guī)責任。這一點在開源社區(qū)中的重要性不容低估，因為世界上一些最重要的軟件依賴于那些沒有時間或資源來滿足繁瑣網(wǎng)絡安全法規(guī)的小型社區(qū)。

我的工作涉及直接監(jiān)督在團隊工作流程中啟用某些 AI 工具之前所需的安全評估。因此，我發(fā)現(xiàn)刻意關注 AI 安全態(tài)勢尤為重要。在將 AI 工具集成到生產(chǎn)工作流程之前，請進行正式評估，以了解它將接觸哪些系統(tǒng)、將處理哪些數(shù)據(jù)，以及其行為如何與現(xiàn)有安全控制措施保持一致。不要操之過急——規(guī)劃出有針對性的用例，并進行試點，設置安全護欄。只要配合嚴格的盡職調(diào)查和明確界定的結果，實驗性采用也是可以的。

最后，請記住，創(chuàng)新不必以犧牲安全性或合規(guī)性為代價。無論您是在構建邊緣網(wǎng)絡、搭建云平臺還是管理機器學習管道，OSS 都能加速開發(fā)并降低成本——但前提是必須與規(guī)范的實施相結合。我們已經(jīng)看到一些組織在現(xiàn)有基礎架構上使用 OpenStack 和 MicroCloud 等工具，將云費用削減了高達 76%。但真正的勝利在于，這種成本效益與安全、治理良好且經(jīng)得起審查的實踐相結合。

結論

為了在2025年及以后保持競爭力，企業(yè)必須將開源安全與合規(guī)視為戰(zhàn)略能力，而非事后諸葛亮。這意味著企業(yè)必須采用清晰的軟件采購、修補和評估流程，尤其是在人工智能應用日益普及、監(jiān)管日益嚴格的情況下。

無論您是想降低成本、提高可擴展性，還是想駕馭 CRA 之類的框架，安全的開源實踐都能帶來真正的運營優(yōu)勢。但這些優(yōu)勢只有與有針對性的治理、智能工具以及對風險面的深入了解相結合才能實現(xiàn)。遵循這些建議，您可以更好地確保自己已做好準備，應對這些挑戰(zhàn)以及更多挑戰(zhàn)。