报告行业投资评级 未提及 报告的核心观点 报告认为开源软件已广泛应用，其漏洞影响大，各国重视开源安全，围绕开源软件安全消费规范、鼓励措施、引导商业公司担责及维护人工智能开源安全四个问题开展研究并提建议，长期需变革开源软件消费机制，管理、透明度和自动化工具助推广安全消费 [2][52] 根据相关目录分别进行总结 前言 - CISA网络安全咨询委员会TAC小组委员会围绕“开源安全”发布报告，软件安全受关注，CISA启动“设计安全”计划，保障开源软件安全性更复杂 [3][4][5] 研究背景：开源软件 - 过去几十年开源软件广泛使用，创造约8万亿美元总价值，约80 - 90%的软件含开源组件，但软件缺陷和漏洞后果严重，供应链攻击增多 [8] - 美国政府、开源组织、企业及欧盟采取措施维护开源安全，如美国设国家网络主任办公室、出台战略，开放软件安全基金会发布指南等 [9] - 开源安全要解决两个核心问题（使用开源软件需引入哪些及确定组件版本）和一个基本问题（弥合商业消费者和开源软件开发商规范差距） [10][11][12] - “管理员”可解决开源软件消费缺安全责任人问题，消费者、社区、企业团队、政府机构、商业公司等可扮演该角色，外包管理员对提升开源安全重要 [13][14] - CISA应推动采用软件物料清单（SBOM）和软件工件供应链级别（SLSA）并建立互操作性格式，SBOM提高软件透明度，助跟踪管理安全历史，但不成熟有局限；SLSA提供标准和控制清单，防篡改等，但处于起步阶段有局限 [15][17][19] 问题一：开源软件的安全消费规范 - 开源软件安全消费需考虑“顺流而下”（与最新版本保持一致，有分散式和集中式方法，可用GitHub徽章机制等度量健康水平）和“逆流而上”（将修改反馈给开发者，可减轻维护负担、提升安全性，但面临实操问题）两方面因素 [21][22][23] - 研究结果包括开源安全核心是漏洞修复、各国重视开源安全、关键在线系统与上游保持一致重要等十点 [25][26][27] - 建议CISA制定开源消费和上游指导性文件，涵盖进料过程控制、与上游保持一致价值等信息 [28] 问题二：政府层面鼓励安全消费规范的具体措施 - 采购、感知、信息交换所、集中管理四种方式助鼓励开源软件安全消费规范，如采购要求供应商明确安全规范，感知利用现有计划推广最佳实践等 [29][30][31] - 研究结果指出缺乏安全开发法规，应加强感知项目、推动建立信息交换所等六点 [34][35] - 建议CISA加强感知项目，创建维护信息交换所，增强集中管理服务，研究集中责任是否带来改进 [36][37] 问题三：引导商业公司承担开源安全责任 - 软件安全有开发部署和维护两方面特征，管理员可担任中介提供保障和担责，标准化自动化模板助提升安全性 [38][39][40] - 研究结果包括开源和商业软件法律责任不同、小型开源项目缺安全能力等十三点 [40][41][42] - 建议CISA支持管理员模式，鼓励联邦机构及供应商采用，鼓励使用标准化模板 [43] 问题四：人工智能系统的开源安全和风险防范 - 政府使用人工智能大模型需谨慎，应从公平公正合法合规、可审计性、透明度、可重现性等方面维护安全，如记录数据来源和权重、推行“透明度卡”等 [44][46][47] - 研究结果包括鼓励使用透明度卡、支持DMCA豁免权等七点 [49][50] - 建议CISA强调“可重现构建”，鼓励开源AI模型提高透明度等，支持国会图书馆授予DMCA豁免 [51] 结论 - 安全消费长期需变革开源软件消费机制，管理可弥合差距，透明度和自动化工具助推广安全消费 [52]