直播回放 周幸：开源治理实践如何实现自动化和智能化落地（二）

直播回放 | 周幸：开源治理实践如何实现自动化和智能化落地（二）

二、开源治理痛点

在进行开源治理之前一定要知道有哪些痛点，根据这些痛点再相应地建设开源治理体系。

先给大家介绍下开源治理“三要素”。无论是应用开发安全还是整个安全体系的建设，都有三个非常重要的环节：工具、人和流程制度体系。在整个建设过程中，我认为是可以以开源安全治理工具为基础，通过人员赋能，最后去推进整个流程制度体系的建设。

为什么以开源治理安全工具为抓手?如果一上来就推进文化或者流程制度的建设，很难在短时间内得到想要的成果，因为如果缺少相应的自动化工具去寻找问题和解决问题，成果很难度量。所以我建议以开源治理安全工具为基础，在开源治理的各个阶段和各个流程进行自动化和智能化的检测。

在工具的基础上，要对相应人员和组织进行培训和文化赋能，比如对高危协议的讲解，对高危“0day”漏洞的及时分析培训，提高大家对开源安全的认识。

最后，在以工具为抓手和人员赋能的情况下，推进整个流程和制度的建设，最终完成整个开源治理体系的建设。

接下来给大家介绍一下开源治理的三个风险点。

首先最重要的是组件。要清楚地知道组件的依赖关系并且进行影响分析。当漏洞爆发的时候，优先去定位组件，明确哪些部门或者哪些项目使用了这些组件，再去根据部门或者项目找到受影响的软件产品并进行修复。

其次是漏洞。不是所有漏洞都要去修复，从安全治理平衡的角度来说，应该更加关注那些对业务影响比较大的或者是危害比较大的漏洞，所以要对漏洞进行影响分析和定级。比如当出现“核弹”级别的如Log4j2漏洞的时候，是要及时修复的，因为受影响的面很大而且它的利用难度相对较低。

第三是许可证。近几年一直有关于GPL协议的知识产权纠纷。随着大家慢慢重视知识产权以及相关法律部门的介入，对组件的知识产权进行风险解析包括对其许可证协议进行分析变得越来越重要。

接着介绍开源治理的阶段流程。任何一个流程引入，它都应该是紧紧贴合目前已有的流程基础，为什么？开源治理的四个阶段流程，分别是引入、使用、运营和停止，与软件开发生命周期中的需求设计、编码、测试、发布上线运营是不是有类似之处？