企業軟體使用開放原始碼軟體的比例越來越高,伴隨OSS而來的版權問題與資安漏洞危機,也變成企業管理者與資安人員的新興課題,而一個好的OSS管理工具,才能讓企業真正享受使用開放原始碼的效益,避免因為使用OSS而增加駭客攻擊或侵權訴訟的風險。
侵權訴訟,是高科技製造業者最不願意面對、卻又經常要面對的事,除了產品設計可能引發侵權爭議外,在產品中所使用的韌體/軟體,也常常在無意之中為企業帶來訴訟風險,原因就在於韌體/軟體可能使用了開放原始碼軟體(Open Source Software; OSS)。
開放原始碼的使用管理 已成企業新興課題
OSS應用在軟體開發,可以簡化程式開發難度、縮短時間,程式開發者只要複製不同開源軟體的程式碼,很快就能組裝成一套新的軟體應用程式,不必像以前那樣要自行撰寫程式語法,由於方便快速,越來越多企業軟體使用了開放原始碼軟體。
根據Gartner調查報告指出,2010年,全球前2000大企業有10%的程式碼使用開放原始碼(Open Source),這個比例到了2014年成長為30%,預估2018年可望達到80%。另外一份報告則指出,到2020年全球有99%的重要程式會使用開放原始碼。
隨著OSS在企業的應用越來越深,伴隨OSS而來的版權問題與資安漏洞危機,也變成企業管理者與資安人員的新興課題。數位資安總經理蘇隄指出,企業必須具備識別與管理OSS的能力,才能真正享受使用開放原始碼的效益,避免因為使用OSS而增加駭客攻擊或侵權訴訟的風險。
開放原始碼三大風險
蘇隄進一步指出,目前企業在應用OSS上主要有三大問題。
第一、版權問題。目前,開源軟體共有2400種版權規範,每一套軟體的版權規範都不一樣,程式開發者在使用前不一定會閱讀版權條款,就算讀了也不一定能理解,當軟體開發完之後,很容易因為使用不當而引發侵權爭議。
舉例來說,開源軟體的版權規範中有個GPL條款,採用OSS來做開發或延伸出來的軟體,只能在內部使用,若要對外散佈,就必須公開程式碼。Westinghouse西屋公司曾經推出一台HDTV產品,產品內建的電路板,因為使用了GPL規範的開源軟體,而被控侵權,最後美國法院判決西屋公司應支付罰款以及所有訴訟費用,並從市場回收所有HDTV產品。
另外,根據美國軟體業者Black Duck所做的調查,5%的科技製造業購併案因為OSS版權問題而宣告失敗,購併者在購併前進行軟體估值時,因為不知道軟體中使用了OSS,導致軟體價值估算錯誤,購併案因此而無法成立。
第二、資安漏洞。全球開放原始碼軟體迄今共有10萬個已知漏洞,業界常見的弱點檢測工具,無論黑箱或白箱檢測工具,都只能找出一般性的弱點,許多OSS弱點不是太複雜就是太細微,一般檢測工具根本看不出來,只能仰仗資深安全專家的仔細檢視才能辨識,像2014年總共公佈了4000個OSS弱點,其中只有不到1%是透過自動檢測工具找出來的。
除了已知漏洞外,OSS還有一些是存在已久但尚未被發現的資安漏洞,像2014年發現的OpenSSL漏洞Heartbleed,已經存在至少2年的時間,至少上百家廠商受害,其中不乏國際知名IT或資安廠商。
蘇隄強調,開源軟體因為程式碼公開且漏洞多,成為駭客最喜歡的攻擊對象,通常駭客會先從軟體功能來推測可能使用哪些開源軟體,之後再根據開源軟體的程式碼,找出弱點和攻擊方式,並進一步針對企業軟體展開攻擊。
第三、OpenSource使用廣泛。有些開放原始碼軟體的程式碼中,亦夾雜著其他開源軟體的程式,由於這些程式碼存在已久又錯綜複雜,使得追蹤辨識更不容易。
善用工具 有效管控OSS使用風險
面對OSS越來越頻繁的使用,企業若沿用既有管理方式,也就是由人工調查、記錄與辨識追蹤,很難解決上述三個OSS管理問題,唯有透過工具才能達到管控目的。
蘇隄進一步舉例說明工具管理OSS的必要性。某國際ERP軟體業者明文規定程式開發人員不准使用開放原始碼,但在Heartbleed漏洞被公布時,赫然發現自己也中獎了,之後重新檢查公司開發的軟體,才發現全公司高達60%的程式碼使用OSS,這意味著即便企業制定了規範,員工也未必會遵守,只有透過管理工具,才能避免企業內部看不見的OSS風險。
Blackduck Secure OSS是目前使用最廣泛的開放原始碼軟體管理工具,其會檢視OSS有沒有弱點或漏洞,並適時提醒企業更新修補程式與相關的版權責任,協助企業掌控OSS風險並降低維運成本。
蘇隄認為,理想的OSS管理流程應為,程式開發者在使用任何一種開放原始碼軟體前,必須先向企業提出申請,由相關人員利用Blackduck進行掃描,確認OSS的版權問題與資安漏洞,經過法務與資安人員的核可後,才能使用,之後這個經過審核的OSS就進入企業資料庫,日後若有其他程式開發需求,可重複再使用,降低風險與成本,提昇ROI經濟效益。