近年来,针对开源软件的供应链攻击呈爆发式增长。从Log4j到XZ后门,几乎每隔几周就会出现一起重大安全事件。尽管开源软件支撑着现代数字世界的几乎所有角落——从汽车到卫星、从手机到工业控制系统——但它的安全性却长期处于“没人真正负责”的尴尬境地。美国政府的保护努力在新一届行政团队下遭遇挫折,而重度依赖开源的企业也远未承担起应有的责任。与此同时,前沿人工智能的发展正让这一风险进一步放大,而全球监管的碎片化又使得系统性解决方案遥不可及。

开源为何成为攻击者的“高回报靶场”
二十年前,开源还是小众领域,攻破一个开源项目的“爆炸半径”相当有限。如今,“几乎一切都在开源之上运行”。正如前CISA开源安全专家Æva Black所言,攻击者自然会涌向回报最高的地方——通过污染一个流行的开源组件,他们可以一举渗透整个供应链。
另一个核心问题是开源项目本身的资源匮乏。cURL的创建者和维护者Daniel Stenberg指出:“大量开源软件由小团队甚至志愿者维护,投入的资金、人力和基础设施远远不够。”很多项目缺乏正式的漏洞披露流程,维护者要么联系不上,要么被海量的AI工具自动生成的虚假报告淹没,真正有价值的漏洞反而被埋没。
政府保护努力:美国拜登起步,特朗普搁浅
2021年Log4j漏洞的发现曾震动全球安全界。时任CISA局长Jen Easterly称之为“职业生涯中见过的最严重漏洞之一”。此后,拜登政府采取了一系列措施:成立开源软件安全倡议(OS3I)、聘请多位知名开源安全专家入驻CISA、推动安全设计和软件物料清单(SBOM)等通用实践。然而,随着特朗普上台,这些努力大多停滞不前。CISA的开源安全专家纷纷离职,OS3I几乎没有活跃迹象,特朗普的网络安全战略甚至完全未提及开源。
尽管如此,CISA代理主任Nick Andersen近期表示开源安全是他“特别关注”的领域,并声称正在加速招聘关键岗位。国会方面也有零星动作:《开源软件安全法案》虽在2022年提出后搁置,但其中部分内容已被纳入国土安全部拨款法,要求CISA就设立开源项目办公室的价值向国会汇报。参议院情报委员会主席Tom Cotton则敦促行政部门提高对敌对国家参与国家安全机构所用开源软件的认识。
欧洲的立法先行:美国的空白能否被填补?
与美国联邦层面的摇摆不定相比,欧洲正在大步前进。德国已设立专项基金支持开源项目安全审计。2024年欧盟通过的《网络弹性法案》(CRA)要求所有在商业活动中使用开源软件产品的实体履行特定安全义务。曾在CISA任职的Black透露,她任职期间美欧曾讨论过协调开源安全理念,但特朗普上台后这一势头中断。“欧洲继续推进,现在有了一个新的法律框架,很可能重塑全球开源安全格局——至少对任何想与欧洲合作的人来说是这样。”
企业责任:坐享其成还是共担风险?
专家们一致认为,企业是开源安全链条中最薄弱的环节之一。大多数公司以最高效的方式使用开源来构建非产品价值的功能,却没有建立负责任且安全的利用路径。Chainguard的CEO Dan Lorenc指出,开源项目缺乏系统化的协调漏洞披露机制,而一个中立非营利组织或许应该承担起统一接收漏洞报告、并在维护者失联时执行“分叉”(将项目托管权转移)的责任。
Stenberg则认为,政府发布的警告和建议“在大局中根本没什么影响”——人们最初关注一下,两年后就全忘了。但他也承认,连续不断的攻击浪潮正迫使行业重新审视文化:“每个人都知道行业必须改变。这是一场很好的危机,正确的事情正在正确的地方发生。问题是:我们能做得够快吗?”
结语:全球协作仍是理想,但现实支离破碎
开源软件的安全性从来不是一个国家、一家企业或一群志愿者能够单独解决的问题。它需要全球范围内的协同监管、持续的资源投入,以及从开发到运维全生命周期的安全思维转变。然而,地缘政治分歧、政府政策的不连续性以及企业短视的利益考量,让这一目标显得异常艰难。唯一确定的是:危机不会等待共识达成,每一行未被加固的开源代码,都可能成为下一场数字灾难的导火索。
安情视界——洞见未来,智掌先机,持续追踪全球安全动态,精准解读政策与事件,深度预测研判趋势,护航企业全球化征程。
夜雨聆风