比特幣行情 比特幣行情
Ctrl+D 比特幣行情
ads

區塊鏈:萬向區塊鏈沈育敏:開源的安全可信治理與區塊鏈

Author:

Time:1900/1/1 0:00:00

本文為萬向區塊鏈技術中心負責人沈育敏在“2021云上中國國際軟件產品和信息服務交易博覽會:全球開源大會技術分論壇-安全與可信專題論壇”上的演講內容。沈育敏從國內外開源現狀講起,分析了開源技術面臨的風險和治理,以及區塊鏈在開源安全和可信治理中的應用,最后以萬向區塊鏈底層開源平臺“萬納鏈”為例,進一步解析了區塊鏈在開源技術中的應用。注:本文在原文基礎上略有刪減大家好!我是萬向區塊鏈技術中心負責人沈育敏。今天很榮幸受邀和大家一起聊聊“開源的安全可信治理與區塊鏈”。我的演講主要分為以下五部分:第一,開源現狀;第二,面臨的風險;第三,安全和可信治理;第四,開源與區塊鏈;第五,萬納鏈。

一、開源現狀及開源在中國的現狀

開源軟件從上世紀末開始興起,大家最初使用開源軟件的理由主要是因為其無需成本,以及能夠幫助項目快速交付。但隨著時間的推移,大家的關注點從早期的快速交付,逐漸轉變為開源軟件的可靠性。而如今,大家更加關注開源軟件的安全與可信。

隨著計算機技術的發展,尤其是互聯網企業的興起,開源軟件在操作系統、編譯工具、數據庫、服務器、中間件等各方面已經成為了主流。據Gartner調研顯示,99%的組織在IT系統中依賴于開源軟件,因為其開發模式、理念與精神、社區文化吸引了一大批開源貢獻者。當然,目前開源貢獻者絕大部分還是靠愛發電。大家愿意主動貢獻的原因,除了對開源理念與精神的認可,也有開源能幫助程序員、技術人員提高項目質量的因素。

萬向區塊鏈聯合紫光展銳等公司推出基于區塊鏈的物聯網芯片平臺:萬向區塊鏈聯合紫光展銳、摩聯科技、廣和通開啟區塊鏈+物聯網融合創新的合作,通過實現芯片與區塊鏈的底層深度融合,為未來智能數字社會構筑可信的數字基礎設施。這一合作目前已率先在紫光展銳的Cat.1產品—春藤8910DM上落地,也使得春藤8910DM成為全球首款由區塊鏈技術加持的Cat.1bis物聯網芯片平臺。

BoAT區塊鏈應用架構將為基于春藤8910DM的物聯網設備提供具備訪問區塊鏈和調用智能合約的能力,確保在數據上傳到云的同時將數據特征值上鏈,實現「鏈上-云上」數據可信對應。廣和通基于紫光展銳的物聯網芯片平臺春藤8910DM以及摩聯科技的BoAT區塊鏈應用框架,推出了全球首款Cat.1區塊鏈模組L610,將賦予智慧農業、車聯網等行業新價值。[2020/5/27]

首先,項目開源后不僅可以獲得社區其他成員的貢獻,對技術人員來說,開源項目也是非常好的展現以及推銷自身技術的窗口。開源相對于閉源來說,最大的區別在于公開、透明。開源軟件中一些Bug的發現、修復,以及新功能的提出都可以在公開的論壇中進行,對使用者來說,所有的這一切都是可溯源的,也可以做到心中有數,能夠更加放心地使用。此外,開源軟件的代碼質量往往會較好,開發人員對于要公之于眾的代碼,顯然會更加注重代碼的可讀性、可維護性等一些引擎項。不僅如此,社區成員對代碼檢查之后的評論、建議、貢獻也能夠為代碼質量的提高帶來顯著的幫助。

萬向區塊鏈聯合中化等7家企業將發布《能源石化交易行業區塊鏈應用白皮書》:5月12日消息,萬向區塊鏈宣布聯合中化集團下屬中化能源科技有限公司、中國石油國際事業有限公司、中遠海運能源運輸股份有限公司、招商局能源運輸股份有限公司、中國銀行股份有限公司、中國建設銀行股份有限公司、麥格理集團 7 家企業共同編寫《能源石化交易行業區塊鏈應用白皮書》,白皮書將于5月15日正式發布。萬向區塊鏈表示與其他編寫單位,從行業參與者的視角,結合在能源石化行業區塊鏈技術應用中的探索經驗,闡述了各方對區塊鏈技術創新與能源石化交易行業生態重塑的展望。(萬向區塊鏈)[2020/5/12]

開源軟件的好處多多,除了透明、高質量外,免費、定制性、自由等等也是開源軟件的好處。正是因為有這些好處,使用開源軟件的公司在逐年遞增,吸引了越來越多的開發者。近些年,全球開源貢獻者的數量持續增加,2020年GitHub平臺有5600萬貢獻者,相較于2019年增長了1600萬。

接下來,聊聊開源當前在中國的現狀。2020年,GitHub上美國貢獻者數量位居第一,其次就是中國的貢獻者,占到了14%,而且中國貢獻者逐年增長的速度是最快的,尤其是從2016年開始,基本上呈現了指數級的增長。據調研數據顯示,國內開發者對于開源的理解日趨成熟,70%的開發者認為開源吸引開發者的原因主要是在于其公開、透明的代碼,還有就是知識共享、開源的理念與精神。GitHub預測,到2030年中國開發者將成為全球最大的開源群體。

金色財經現場報道,萬向區塊鏈首席技術官:不要為了區塊鏈而區塊鏈:在新金融100人主題論壇上,金色財經現場報道,在新金融100人主題論壇上,萬向區塊鏈首席技術官羅榮閣表示,在金融保險行業,區塊鏈技術并不是剛需,區塊鏈技術只是錦上添花的存在,不要為了區塊鏈而區塊鏈。[2018/4/27]

2020年,中國已經使用開源技術的企業占比達到了近九成,阿里、百度、京東、PingCAP的項目在GitHub的中國項目活躍度Top20的榜單中都非常亮眼。阿里巴巴的數據在多項指標上的表現都非常不錯,有些指標甚至是其他指標之和,并且阿里在社區、文化、開放等方面也做得很好,大家日常開發工作中所用到的Notify、RocketMQ等中間件都是阿里的開源項目。

可以看出,各大互聯網企業近年來均在不斷加大開源社區的生態建設。同時,增加開源的影響力,對于企業的招聘也會產生一些顯著的助力。

二、開源軟件的風險

就像硬幣有著兩面,任何事物都有兩面性,開源有著諸多好處。隨著各領域使用開源技術的企業逐步增長,開源的劣勢逐漸在閃現出來。

開源項目技術迭代快,運維成本高。數量宏大,使用很多開源依賴后統籌管理比較困難。安全漏洞威脅。開源許可證和知識產權問題。可能存在大修改許可或收費問題。尤其是近年來,開源軟件的安全漏洞風險越來越顯著。2020年,熱門的開源項目中含有至少一個漏洞的項目占到了84%,比2019年增長了9個百分點。含有高危漏洞的項目甚至占到了60%,比2019年增長了11個百分點。通過掃描數以百萬計的GitHub代碼庫以及程序包,對其中500個開源項目的維護者進行調研后發現,只有8%的開源項目維護者自認為有比較高的信息安全技術和意識,另外有近半數的開源項目維護者不太做代碼的審計,只有10%的維護者能夠做到每個季度審核代碼。此外,開源軟件漏洞從發現到公布,再到修復的周期非常久。漏洞從公布到被修復的最長時間為94天,平均時間也有16天。

萬向區塊鏈陶曲明:區塊鏈有機會超過互聯網的網絡效應:據萬向區塊鏈官方微信文章,萬向區塊鏈副總經理陶曲明在全球普惠區塊鏈峰會上演講時表示,區塊鏈有機會構筑一個比現有互聯網更有價值的網絡,因為在區塊鏈的世界里,參與生產協作關系的主體不局限于“人”這一種類型。假設社交網絡,如Facebook或微信,能擴展到全世界,全球70億人都使用它們,這就是現有互聯網能夠達到的網絡效應的極限。所但是對于區塊鏈構建的網絡,它有機會超越70億的局限。因為在區塊鏈的世界里,一個智能硬件甚至就是一段代碼,即我們講的智能合約,都有機會變成在經濟活動當中獨立的主體,參與到整個經濟活動中去。[2018/4/23]

美國近十年來最嚴重的一次數據泄露,是1.4億多位美國征信巨頭Equifax消費者的敏感數據被黑客所竊取,而這一數字占到美國人口的近一半。這起事件的源頭是因為Equifax使用的軟件中,有依賴于Struts框架的軟件。Struts框架是開源的MVC框架,該框架中存在著安全缺陷,該安全缺陷被黑客首先發現并利用這一安全缺陷盜取了數據。由此可以看出,開源軟件公開的代碼能夠獲得更多貢獻者幫助的同時,對于黑客來說,也是一個非常好的機會。

近期,在我們身邊也發生了非常嚴重的開源軟件安全問題。12月,LOG4J被爆出了安全漏洞,該安全漏洞不需要用戶執行多余操作即可被觸發,漏洞可以幫助攻擊者遠程控制受害者的服務器,當今90%以上的JAVA開發應用平臺都會受到影響。這個漏洞涉及的范圍及危害程度堪比2017年的“永恒之藍”漏洞。我相信大部分的技術公司可能在12月份都會抽出精力做這一漏洞的修復和彌補。

萬向區塊鏈與星展銀行達成戰略合作 共同推動供應鏈金融創新:\t\t\t\t \t\t\t\t據美通社報道,2月5日,上海萬向區塊鏈股份公司與星展銀行(中國)有限公司在滬簽署戰略合作框架協議。星展銀行在供應鏈金融領域有著豐富的經驗,結合萬向區塊鏈的技術優勢,將為傳統模式中,得不到充分金融服務的中小型供應商帶來更加便捷的服務體驗和融資渠道,并將依托雙方豐富的業務資源,共同探索區塊鏈技術的更多金融應用場景。[2018/2/6]

開源軟件風險防范共有四項:系統信息的泄露、密碼管理、資源注入和安全缺陷。其中,安全缺陷是最重要的一部分。之所以會有非常多的安全缺陷,一個是因為開源軟件貢獻者普遍來說安全意識還不夠高,另一個原因是開源軟件的貢獻者是用愛發電,所以確實沒有多余的預算對所編寫的編碼進行安全性測試。還有另外一個問題,開源軟件的安全漏洞雖然可以被社區中的其他貢獻者所發現以及上報,但是只有84%的安全漏洞出現在NVD中,很多安全漏洞散落在幾百個不同的資源中,這對三方開源軟件的使用者提出了非常高的要求,需要自己去收集以及對接,不然就很有可能對自己的軟件或平臺產生安全的風險。開源的代碼既可以被開源社區中的一些貢獻者看到,也可以被網絡犯罪分子或者黑客所利用,黑客可以發現代碼中的漏洞并利用漏洞進行攻擊。開源軟件因為引用方眾多,所以一旦攻擊了一個漏洞,影響范圍可能是非常大的。

除了安全缺陷外,許可證的違規使用也是一個比較大的問題。據統計,當前超過三成的項目并沒有嚴格遵守開源軟件的許可證使用方式。另外一個風險是開源軟件項目隨著時間的推移,迭代可能會變慢、變少,甚至中斷,有數據顯示有近九成的代碼庫中引用到的三方開源軟件,在過去兩年內沒有任何開發跡象,這除了增加安全的風險外,在版本控制中落后太遠也會有非常大的威脅,一些非常小的變更甚至都可能帶來一些基礎性的問題。

三、安全和可信治理

所以,開源軟件的風險治理成為使用開源軟件必不可少的工作之一。首先,要梳理、依賴以及分析,當前不少工具都可以幫助開源軟件的使用者輕松做到這些。梳理軟件物料清單時需要注意,除了第一次梳理,之后的每一次迭代都要維護清單、更新清單。大家可以根據迭代后的清單,找到當前不需要的依賴。我們發現開發人員在維護依賴的時候,即使發現不適用的依賴也會懶得刪除,這顯然會增大黑客的攻擊范圍,因此需要定期去檢查,并刪除不需要的依賴。漏洞源的對接相對來說會比較復雜一些,如剛才所提到的,并沒有唯一的對接源可以包含所有漏洞的報告。所幸當前已經有一些開源組織提供了一些免費的漏洞庫,對接幾大組織的漏洞庫之后,大部分情況下可以覆蓋當前市面上大部分的漏洞。最后,對比版本的依賴,以及發現問題、修復問題。

風險的治理貫穿于研發的生命周期,我個人建議把對于安全的把控左移到設計階段,在設計階段就引入安全人員,對于需要引用的開源軟件,除了做調研、對比選型、性能測試以及漏洞源數據對比外,還要關注該項目開源社區的活性,以及該項目相關的許可證。

安全風險的治理需左移,要求我們在設計的時候就對此加以關注。在設計階段,需要對新引用的三方依賴做調研、對比選型、使用驗證,甚至會安排性能測試,最終給出選型文檔、性能測試報告等等。尤其需要關注該開源項目的社區活性,對于社區活性較弱的開源項目,選擇使用的時候需要尤其謹慎。在設計階段,對于軟件物料清單的更新以及許可證的調研等等,都需要在這個階段加以考慮以及分析。同時,在之后的研發、測試、生產流程中,也是需要有一些手段確保開源軟件使用的安全性。

同樣,在之后的研發測試等環節中,也有需要執行相對操作來確保安全。開源軟件的安全治理在我們公司是在安全治理中非常重要的組成部分。我們公司安全平臺的框架中,項目漏洞追蹤、開源安全開發模塊都是為了幫助并確保引用開源軟件時避免安全缺陷。

四、開源與區塊鏈

區塊鏈是去中心化的,天然符合開源的理念。央行數字貨幣研究所副所長狄剛曾經說過:區塊鏈與開源是互相促進的,區塊鏈有了開源才能走得更遠。

為什么這么說呢?其實很簡單,區塊鏈的機制是不可篡改,由此減弱信息不對稱現象,從而建立信任。但這個不可篡改是建立在理論基礎上的,如果區塊鏈不開源,對使用者來說是個黑盒,即時的信任可信度是會被打折扣的。縱觀區塊鏈發展史我們知道,以太坊等都是通過開源來獲得信任,從而凝聚共識的。

另外,區塊鏈對于開源會有什么幫助呢?區塊鏈天然內置激勵,能夠解決開源社區的激勵不足問題。Gatecoin就是國外開源軟件開發激勵平臺,其愿景是通過區塊鏈支持各類開源項目,幫助不同規模的開源項目尋求資獲得資金的機會。此外,智能合約的自動執行,也能減少社區大規模協作的成本。

Tags:區塊鏈HUBITHCAT區塊鏈游戲幣拍賣HUB價格ITH價格kingofcatering

以太坊最新價格
區塊鏈:一文詳解區塊鏈技術在全球食品供應鏈中的應用

預計到2050年全球人口將達到97億,實現糧食安全的目標將是一項巨大的挑戰。糧食安全是什么?糧食安全被定義為“所有人在任何時候都可以在物質上和經濟上獲得充足、安全和有營養的食物,以滿足他們積極健.

1900/1/1 0:00:00
NFT:周杰倫、陳冠希支持的NFT價格屢創新高 名人NFT能否長期投資?

來源:財聯社|區塊鏈日報 記者董宇佳 限量1萬個,售價為0.26ETH,總價超過6200萬元人民幣,約40分鐘全部售出.

1900/1/1 0:00:00
ETH:2021 區塊鏈「沙雕新聞」評選開始!誰最沙雕(手動狗頭)?

原標題:《2021區塊鏈「沙雕新聞」評選開始了》永載史冊的2021年即將逝去,不管你在行業里是被割、被盜,還是被騙,2021一定讓你沒齒難忘.

1900/1/1 0:00:00
WEB:觀察 | 為什么說加密貨幣和Web3提供了歐盟長期以來一直在尋找的“第三條道路”

原標題:《歐洲在Web3的第三道路:為什么歐盟應該擁抱加密世界》在這篇文章中,來自UnstoppableFinance的特邀作者PatrickHansen討論了歐盟在網絡時代的斗爭.

1900/1/1 0:00:00
元宇宙:張烽:如何理解元宇宙的概念?元宇宙面臨著哪些治理和法律問題?

原標題:《元宇宙的若干治理和法律問題》年度熱詞:元宇宙。2021年12月元宇宙入選《柯林斯詞典》2021年度熱詞、《咬文嚼字》2021年度十大流行語、國家語言資源監測與研究中心2021年度十大網.

1900/1/1 0:00:00
GOX:消息人士:俄羅斯或將通過阻止借記卡向加密交易所付款以禁止加密貨幣

據Cointelegraph援引《福布斯》俄羅斯版周五報道,當地加密貨幣支付初創公司Joys的首席執行官AndreyMikhaylishin表示,俄羅斯央行目前正在考慮幾個潛在的選項.

1900/1/1 0:00:00
ads