99热免费,女高潮大叫喷水流白浆,精品老肥婆88AV,美女后入视频,日韩h

首頁> 要聞 > > 正文

開源漏洞10年增長18倍 360發(fā)起開源軟件供應鏈安全實驗室

2021-04-29 07:15:19 來源:互聯(lián)網(wǎng)

4月25日,在第四屆數(shù)字中國建設峰會軟件開源生態(tài)分論壇上,開源軟件供應鏈安全實驗室正式啟動成立。該實驗室是由360集團聯(lián)合國家工業(yè)信息安全發(fā)展研究中心、中國科學院軟件研究所、北京航空航天大學軟件學院、北京大學軟件工程國家工程研究中心、開源中國共同發(fā)起,將聚焦開源生態(tài)治理重點需求和開源軟件供應鏈薄弱環(huán)節(jié),加強理論和前沿技術研究,搭建技術支撐平臺、開源軟件檢測認證、成熟度評估等工作。

“開源模式改變了傳統(tǒng)的軟件發(fā)展模式,重塑了軟件產(chǎn)業(yè)格局,是代表未來的協(xié)作創(chuàng)新機制,因此,我們更需要重視開源安全問題?!?60集團副總裁兼首席安全官杜躍進博士在峰會上發(fā)表題為“用開源思路提高軟件安全”的主題演講。據(jù)統(tǒng)計,過去10年,開源軟件漏洞總數(shù)增長了18倍,而2020年已發(fā)布的開源軟件漏洞數(shù)量再創(chuàng)新高,其總數(shù)為9658個,相比于2019年,增量超過一半。

過去十年,開源漏洞不僅數(shù)量倍增,其破壞力也可見一斑。2014年,開源密碼庫OpenSSL中的 Heartbleed 安全漏洞被發(fā)現(xiàn),這個漏洞影響了50萬Web 服務器。而經(jīng)360檢測,國內(nèi)有不少于30%的網(wǎng)站中招,其中包括網(wǎng)銀、網(wǎng)購、網(wǎng)上支付、郵箱、門戶等知名網(wǎng)站和服務,而且,無論用戶電腦多么安全,只要網(wǎng)站使用了存在漏洞的OpenSSL版本,用戶就可能被黑客實時監(jiān)控到登錄賬號和密碼。據(jù)搜索引擎商 Shodan 報告,截至2019年底,該漏洞引起了91000多起脆弱性事件。這正是廣為人知的“OpenSSL心臟出血漏洞”,因影響范圍之廣、破壞性之大,被稱為網(wǎng)絡安全里程碑事件。

伴隨數(shù)字化進一步發(fā)展,開源漏洞的破壞性還將更加嚴重?!安还苁侵腔鄢鞘校腔坩t(yī)療等,都需要用到一些人工智能應用或者服務,而這些應用或者服務的實現(xiàn)是建立在一系列AI框架之上,需要利用AI框架訓練模型,并實現(xiàn)最后的推理預測?!?杜躍進博士表示,一旦框架存在問題,既會影響人工智能應用或者服務的開發(fā)者,更多的會影響用戶,甚至會影響智慧醫(yī)療、智慧城市的正常運轉。另一方面,隨著信創(chuàng)產(chǎn)業(yè)的高速發(fā)展,開源軟件已成為信創(chuàng)生態(tài)建設的“基石”,開源軟件安全問題已成為信創(chuàng)安全保障的重要環(huán)節(jié)。

因此,如何更加妥善的應對開源帶來的風險,是全行業(yè)需要思考的問題。360一直致力于開源安全能力建設,一方面,作為國家新一代人工智能安全開放創(chuàng)新平臺的依托單位,360已累計發(fā)現(xiàn)主流機器學習框架及依賴組件漏洞超過100個,影響范圍包括Tensorflow、Caffe、PyTorch等;另一方面,圍繞信創(chuàng)安全面臨的嚴峻考驗,360積極開展信創(chuàng)安全體系頂層設計,適配信創(chuàng)安全產(chǎn)品,聯(lián)合統(tǒng)信軟件等發(fā)起“國密數(shù)字證書計劃”。

但是,僅靠安全產(chǎn)業(yè)界現(xiàn)有的力量是遠遠不夠的,杜躍進博士呼吁要用開源精神和開源模式建設信創(chuàng)安全生態(tài),提高信創(chuàng)安全水平,調(diào)動民營企業(yè)和社會力量的優(yōu)勢,建設信創(chuàng)安全整體能力。為此,2019年10月,360打造了全國第一家開源漏洞響應平臺360BugCloud,并首創(chuàng)“自主議價”的全新模式及“第三方專家評審”機制,在獎金設立上,以“四位數(shù)起且上不封頂”的致謝金額,表達對每一位致力于維護開源軟件及社區(qū)平臺安全、世界安全的研究員的尊重。

業(yè)界人士評價稱,360BugCloud是一個漏洞眾測的平臺,可以延伸成漏洞研究人員的社區(qū),再進一步可以衍化成一個用社會化力量幫助用戶應對漏洞的社區(qū),對開源安全意義重大。而此次開源軟件供應鏈安全實驗室的成立,也將進一步推動建立開放創(chuàng)新生態(tài)體系,服務我國開源生態(tài)建設。

據(jù)悉,作為數(shù)字中國建設成果峰會的核心分論壇之一,軟件開源生態(tài)分論壇由工業(yè)和信息化部、國家互聯(lián)網(wǎng)信息辦公室主辦,國家工業(yè)信息安全發(fā)展研究中心和福州市人民政府共同承辦。

標簽: 開源 漏洞 10 增長