“机智号”成功试飞火星，但它使用的开源软件安全吗？

GitHub 发布博客文章指出，实际上构建“机智号”的团队规模要远大于JPL 的6000名员工。这个1.8千克重的直升机背后是 Aero Vironment、洛克希德·马丁和高通等知名公司的承包商，而鼎力支持这款强大软件的，是数千名遍布全球的开源开发人员，而这些人甚至不知道自己做出了多么大的贡献。

“机智号”直升机在其导航计算机上运行着嵌入式 Linux 发行版。该版本大部分使用 JPL 的开源飞行控制框架 F Prime (F’) 通过 C++ 编写而成。同时，Python 生态系统从地面控制到飞行建模再到数据处理等整个过程都发挥了关键作用。

近1.2万名开发人员向“机智号”所使用的开源软件贡献了代码、文档、图形设计等，使 “机智号“ 的发射成为可能。为祝贺开源软件的这一历史性时刻，GitHub 为所有贡献人员添加了新徽章，表彰他们对人类发展进步做出的贡献。JPL 分享了为”机智号“做出贡献的所有开源项目，GitHub 以此为据颁发徽章。

GitHub 开发者关系的高级总监 Martin Woodward指出，“我们发现了多层次的依赖关系。单个项目可能具有10个或不到10个依赖关系，而且呈蜘蛛网结构，每个依赖关系还依赖于其它项目。不知不觉中，无数开发人员为项目做出了巨大贡献。“NASA 与 GitHub 共享了”机智号“所依赖的59个开源库及其版本，如下图所示。

此外也使用了log4j-2.11.0等。那么，“机智号“所使用的这些开源软件版本是否安全？奇安信开源卫士团队对此进行了检测。

结果发现，至少有五个开源库中存在严重等级不同的漏洞。其中，“超危”漏洞共1个，“高危”漏洞共10个，“中危”漏洞共10个，“低危”漏洞共1个，共计22个。

以 Python-pillow/Pillow 版本8.1.0为例，具体的检测过程如下。

（1）查验条件：

（2）查验结果：

（3）易受影响的漏洞

正如 GitHub 在文章中所提到的那样，“机智号”大量使用开源软件的情况和当前所有交付的软件系统一样，其中99%的系统依赖于开源组件。Python 的核心贡献人员 Carol Willing 指出，“就像在湖中投掷了一块卵石，小小的贡献就能泛出涟漪，产生更大的影响。而这就是一种开源之美，其他人可以利用你的出色工作并将其发扬光大，让它变得更强大更有意义。“

随着开源软件的广泛应用，它的安全性也愈发重要。开发和交付的加速，使得软件开发环境愈加复杂，对第三方应用和平台的依赖愈发增强。近期，Contrast Labs 发布《2021年开源安全报告》指出，“开源库为攻击者提供了两种主要的漏洞利用途径”，一是通过已发现漏洞实施攻击，二是通过库来源引入漏洞实施攻击。开源软件背后调用或依赖的其它开源软件也可能存在漏洞，这种深层关联下的开源软件很难通过漏洞扫描工具发现，从而导致所有使用最终产品的企业变得易受攻击，而这种情况一直不断上演，比如 OpenSSL “心脏出血”漏洞事件、SolarWinds 开源供应链事件等。因此，需要尽早在开发生命周期中部署开源安全工具和进程，在不耽误开发的情况下对漏洞优先级进行排序、检测并解决它们。

奇安信开源卫士是一套集开源软件识别与安全管控于一体的软件成分分析系统，通过智能化数据收集引擎在全球范围内获取开源软件信息和漏洞信息，帮助客户掌握开源软件资产状况，及时获取开源软件漏洞情报，降低由开源软件带来的安全风险。奇安信开源卫士目前可识别4000多万个开源软件版本，兼容NVD、CNNVD、CNVD等多个漏洞库。