GSS資安電子報0148期【企業採用開源軟體所面臨的專利權與資安風險】

2018-01-01 13:45

本文同步刊載於2017.12月號 CIO IT經理人

 

  隨著雲端運算與物聯網等先進科技應用陸續進入企業的相關運作,在有著成本及導入時間優勢的情況下,開源軟體又稱為開放原始碼軟體(Open Source Software)已經被一般企業所廣為採用。只是,因為開源軟體的開發週期依專案需求與規模,有著時程不一的情況。所以,等到最後整合測試階段才發現系統內存在為數龐大的問題時,想要再進行補救,就必須花費相當可觀的金錢與時間,而這也正是採用開源所面對的課題。

開源系統開發的兩大軟肋 : 專利與資安

  一直以來,專注於解決開源相關問題的WhiteSource,說明當前企業使用開源軟體時可能面臨的挑戰。根據 WhiteSource亞太及歐洲、非洲與中東地區業務總經理Gal Yaffe表示,一般企業在使用開源軟體時,最容易產生的兩大問題面向,一是專利,二是資安。

  其中,在專利權的部分,Gal Yaffe 指出,因為開源軟體隨著開發時間與版本的不同,在架構內可能有著因為前後版本由不同開發者所開發或修正,因而造成著作權的問題。這部分如果企業沒有謹慎過濾與管理,恐將使得企業面臨法律、商譽,以及技術上的風險。至於,在資訊安全方面,也是因為面臨開源環境原本即是由不同開發者所貢獻,以至於相關資訊安全漏洞的修復與否,有著難以確認與管理的情形,這使得企業在採用開源軟體時,可能遭遇到隱藏的木馬或不知名地雷攻擊的危險。

  而為了解決以上兩大問題點,Gal Yaffe指出,WhiteSource提出的解決方案,除了提供與軟體開發生命周期持續整合之軟體(Continuous Integration Software)工具,進行自動辨識所有開源元件功能外,並且可依照企業所使用的持續性及自動化建構方式,將所使用的元件與WhiteSource 長久以來建立的多個弱點資料庫進行交叉比對,透過覆蓋度廣且精確度高的比對,以求能早期發現風險所在。

由左至右:叡揚資訊 資安經理 郭俐佳、叡揚資訊 資安產品顧問 李佳凌、WhiteSource 通路經理 Elad Tzur

WhiteSource EMEA暨泛亞太區總經理 Gal Yaffe、叡揚資訊 資訊服務事業群 資深副總 陳志雄、叡揚資訊 資安處長 范家禎

 
  此外,在WhiteSource進行開源程式與資料庫比對的同時,還可以利用 WhiteSource在管理者瀏覽器上嵌入的程式,藉圖表化的簡便管理,直接指出該元件多面向問題,包含問題報告、安全風險、不良授權、元件近期最新版本資訊等。讓開發者利用更簡單方便的方式,在開發周期的各個階段,去選擇所需要的元件,提供專案中使用。藉由此管理介面,企業在執行開源專案之時,就能降低資訊安全與專利權等未知情況所帶來的風險。
 
  當開發者不知情狀況下若使用了含有地雷開源元件,在其尚未變成一個問題前,便可針對安全性、是否符合公司政策、程式問題數量,以及最新版本等事項進行持續的追蹤。之後,將每個元件由高至低,個別標示等級。再藉由管理頁面,針對每一個元件進行集中管理,以提供開發者或管理人員進行同意、拒絕、指派及特殊情況審查等功能。
 
   Gal Yaffe表示,相較於當前市面上Blackduck採用10多年前的技術,並且僅提供開源元件的原始碼掃描功能,使其應用偏向於稽核事項上來說,因為近來資訊安全的威脅逐步增加,在企業使用開源軟體之際更需要謹慎的狀態下,Blackduck相對地已經無法滿足企業的需求。而反觀WhiteSource 的解決方案,則是在操作簡單、涵蓋面廣、比對精準,以及持續追蹤等功能下,持續為為企業開發單位採用開源軟體進行把關,以降低面對專利權以及資安的風險。如此,使企業能享受開源所帶來的快速與成本優勢的同時,也得到進一步的防護。

 
 
 
 
 
上一篇 下一篇