2025年，使用開源軟件（OSS）的組織面臨的最緊迫問題是什么？是網絡攻擊？成本效益？還是人工智能和新技術帶來的顛覆？

在本文中，我將以 CISO 的身份提出我的看法并建議如何解決這些問題。

企業為何在開源供應鏈方面遇到困難

開源軟件 (OSS) 固然出色，但軟件的品質取決于其供應鏈的安全性。如何做好這一點可能是一個復雜的難題，也是大多數組織都在努力解決的問題：我們與 IDC 合作的研究表明，90% 的組織傾向于在操作系統級別采購軟件包，但只有 44% 的組織真正這樣做了。

相反，各大公司都在從各處拉取軟件，而且只有在迫不得已的情況下才會這么做，從而避免自動升級到最新版本。他們寧愿等到需要新功能或免費更新停止時才更新，本質上就是等到系統無法正常工作為止。

這種方法會使組織面臨新發現的漏洞，最終還會造成更昂貴、更耗時的工作，因為組織必須執行諸如監控上游開源和掃描漏洞等密集且低效的工作。

管理漏洞的挑戰

修補漏洞本身就很難，但如果您需要滿足市場法規所需的嚴格服務等級協議 (SLA)，那就更加困難了。管理各種開源軟件 (OSS) 中的漏洞可能非常耗時，需要熟練的勞動力和人工操作。正如每位首席信息安全官 (CISO) 所知，“人工”通常意味著長期犯錯。一旦出現問題，可能會給公司帶來災難：根據 Statistica 的數據，截至 2025 年 1 月，僅 17 起數據泄露事件就導致了超過 70 億美元的罰款。

圍繞人工智能的擔憂

Canonical 的研究表明， 43% 的組織對其 AI 堆棧的安全保障能力感到擔憂。 更糟糕的是，60% 的組織幾乎沒有或僅有基本的安全控制措施來保護其 AI/ML 系統。這種風險是不可接受的：不保護您的 AI 系統會面臨數據包幻覺攻擊、快速注入甚至寶貴 IP 泄露的風險。

監管不斷加強的挑戰

新的網絡安全法規正在擾亂市場，許多組織都在努力弄清楚這些法規對其運營和系統意味著什么。

以歐盟《網絡彈性法案》（CRA）為例。這項新的法規合規性意味著數百萬臺設備將面臨更嚴格的網絡安全要求。這些設備的制造商需要提供詳細的文檔、在設備生命周期內持續提供安全補丁，并長期報告和監控設備漏洞。CRA 只是數十項旨在打擊不安全設備的網絡安全法規之一。應對這一復雜局面并非易事。

我對應對這些新挑戰的建議

開源領域每天都有新的創新。我們自己的團隊中，有人正在為 5G 和移動專用網絡構建具有企業級競爭力的軟件——這在 10 年前是不可想象的。然而，應對當今與開源軟件相關的風險需要戰略性工具、流程成熟度和明智的采購決策的結合。

首先，簡化軟件包的獲取和管理方式。無論您是完全基于開源軟件 (OSS) 還是混合環境，目標都應該是減少零散的采購。根據我的親身經驗，我發現一個有效的策略是從受信任的操作系統級存儲庫中提取軟件包，或者與承擔上游安全性和合規性責任的供應商合作。

這種方法減輕了修補、合規性和漏洞監控的負擔，尤其是在 CRA 等新法規出臺的情況下。在 Canonical，我們致力于直接滿足 CRA 制造商的要求，旨在幫助下游組織在不犧牲靈活性的情況下轉移合規責任。這一點在開源社區中的重要性不容低估，因為世界上一些最重要的軟件依賴于那些沒有時間或資源來滿足繁瑣網絡安全法規的小型社區。

我的工作涉及直接監督在團隊工作流程中啟用某些 AI 工具之前所需的安全評估。因此，我發現刻意關注 AI 安全態勢尤為重要。在將 AI 工具集成到生產工作流程之前，請進行正式評估，以了解它將接觸哪些系統、將處理哪些數據，以及其行為如何與現有安全控制措施保持一致。不要操之過急——規劃出有針對性的用例，并進行試點，設置安全護欄。只要配合嚴格的盡職調查和明確界定的結果，實驗性采用也是可以的。

最后，請記住，創新不必以犧牲安全性或合規性為代價。無論您是在構建邊緣網絡、搭建云平臺還是管理機器學習管道，OSS 都能加速開發并降低成本——但前提是必須與規范的實施相結合。我們已經看到一些組織在現有基礎架構上使用 OpenStack 和 MicroCloud 等工具，將云費用削減了高達 76%。但真正的勝利在于，這種成本效益與安全、治理良好且經得起審查的實踐相結合。

結論

為了在2025年及以后保持競爭力，企業必須將開源安全與合規視為戰略能力，而非事后諸葛亮。這意味著企業必須采用清晰的軟件采購、修補和評估流程，尤其是在人工智能應用日益普及、監管日益嚴格的情況下。

無論您是想降低成本、提高可擴展性，還是想駕馭 CRA 之類的框架，安全的開源實踐都能帶來真正的運營優勢。但這些優勢只有與有針對性的治理、智能工具以及對風險面的深入了解相結合才能實現。遵循這些建議，您可以更好地確保自己已做好準備，應對這些挑戰以及更多挑戰。